Сегодня 11 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы людей открыли сотням веб-приложений полный доступ к своим файлам в Microsoft OneDrive

Миллионы пользователей OneDrive, которые работают с файлами через сторонние веб-приложения, могут неосознанно предоставлять этим приложениям доступ ко всему своему облачному хранилищу. Проблему обнаружили эксперты компании Oasis Security, пишет Dark Reading.

 Источник изображения: appshunter / unsplash.com

Источник изображения: appshunter / unsplash.com

Корни проблемы лежат в разрешениях механизма OAuth OneDrive File Picker, из-за которых сторонним приложениям открывается доступ сразу ко всему содержимому учётной записи OneDrive, а не только к одному файлу. В качестве примеров таких приложений приводятся Slack, Trello и ChatGPT. Чтобы ослабить угрозу, пользователям рекомендуется либо полностью закрыть доступ непроверенным приложениям к OneDrive, либо убедиться, что в облаке не хранится никакой конфиденциальной информации. «В официальной реализации OneDrive File Picker запрашивает доступ ко всему диску, даже при загрузке только одного файла, из-за отсутствия в механизме Oauth специализированных областей видимости для OneDrive. Хотя перед завершением загрузки пользователям предлагается предоставить на это согласие, расплывчатый и неясный язык запроса не даёт пояснения об уровне предоставляемого доступа, что оставляет пользователей открытыми перед неожиданными угрозами безопасности», — рассказали в Oasis.

Из-за этой проблемы любая организация, подключившая сторонние приложения к корпоративному хранилищу OneDrive, подвергается риску раскрытия данных. Уязвимость может использоваться злоумышленниками для кражи, изменения и шифрования данных в OneDrive. Проблема усугубляется тем, что последняя версия OneDrive File Picker требует, чтобы разработчики обрабатывали аутентификацию пользователей с помощью инструмента, который предполагает наличие конфиденциальных данных в хранилище браузера — хакерские атаки в таких условиях представляются особенно опасными. С этими токенами злоумышленники могут получить долгосрочный доступ ко всем файлам в учётной записи OneDrive.

Microsoft OneDrive File Picker — инструмент на основе JavaScript, который разработчики могут использовать для проектирования интерфейса своих веб-приложений, — он позволяет выбирать, загружать, сохранять файлы или делиться данными, хранящимися в OneDrive. Уязвимость касается компонента File Picker Oauth, который используется для аутентификации. Другими словами, приложения, использующие OneDrive File Picker, получают доступ не к отдельным файлам, а ко всему хранилищу сразу, и после завершения загрузки отдельного файла этот доступ может за ними сохраняться. От Microsoft комментариев по этому поводу не последовало.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Telegram объявил победителей конкурса на антирекламу WhatsApp 10 мин.
Apple создала ИИ, который определяет состояние здоровья человека с точностью до 92 % 24 мин.
ИИ-бот Grok 4 уличён в использовании мнения Илона Маска для ответов на спорные вопросы 2 ч.
Созданные ИИ вирусы научились обходить защиту Microsoft Defender, но пока с переменным успехом 3 ч.
«Сбылась мечта всех фанатов»: мобильная хоррор-стратегия на выживание Resident Evil: Survival Unit вышла из тени 3 ч.
В «Мире кораблей» появился первый корабль, созданный по новой технологии — она позволит вывести качество графики в игре на «высочайший уровень» 4 ч.
Экс-глава Intel представил тест для оценки соответствия ИИ общечеловеческим ценностям 4 ч.
Krafton обвинила бывших руководителей Unknown Worlds в подрыве разработки Subnautica 2, а те подали на компанию в суд 4 ч.
Sony показала 17 минут геймплея Ghost of Yotei и анонсировала лимитированные PS5 в стиле игры 7 ч.
Агентство по охране окружающей среды США посетовало на непрекращающиеся попытки бездумного внедрения ИИ 7 ч.
Curator: DDoS-атак во втором квартале стало в 1,5 раза больше, а рекордный ботнет вырос до 4,6 млн устройств 47 мин.
В семейство самоуничтожающихся SSD Team Group P250Q вошли модели вместимостью до 2 Тбайт 60 мин.
В России создали первую отечественную систему управления роботами «силой мысли» 2 ч.
Стало известно, когда в московском метро появятся беспилотные поезда 2 ч.
«Хьюстон, у нас проблема»: Техас едва не похитил шаттл «Дискавери» из Смитсоновского музея 3 ч.
Team Group представила SSD с аппаратным самоуничтожением 4 ч.
Российские сотовые операторы наконец получили перспективный диапазон частот, но пока лишь для тестов 4 ч.
Xiaomi SU7 меньше всех китайских электрокаров теряет в цене на вторичном рынке 4 ч.
Производитель смартфонов Nokia сократит своё присутствие в США 5 ч.
Доля зарубежного трафика в российских сетях подскочила на 15–25 % за последний год 5 ч.