Сегодня 01 августа 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы людей открыли сотням веб-приложений полный доступ к своим файлам в Microsoft OneDrive

Миллионы пользователей OneDrive, которые работают с файлами через сторонние веб-приложения, могут неосознанно предоставлять этим приложениям доступ ко всему своему облачному хранилищу. Проблему обнаружили эксперты компании Oasis Security, пишет Dark Reading.

 Источник изображения: appshunter / unsplash.com

Источник изображения: appshunter / unsplash.com

Корни проблемы лежат в разрешениях механизма OAuth OneDrive File Picker, из-за которых сторонним приложениям открывается доступ сразу ко всему содержимому учётной записи OneDrive, а не только к одному файлу. В качестве примеров таких приложений приводятся Slack, Trello и ChatGPT. Чтобы ослабить угрозу, пользователям рекомендуется либо полностью закрыть доступ непроверенным приложениям к OneDrive, либо убедиться, что в облаке не хранится никакой конфиденциальной информации. «В официальной реализации OneDrive File Picker запрашивает доступ ко всему диску, даже при загрузке только одного файла, из-за отсутствия в механизме Oauth специализированных областей видимости для OneDrive. Хотя перед завершением загрузки пользователям предлагается предоставить на это согласие, расплывчатый и неясный язык запроса не даёт пояснения об уровне предоставляемого доступа, что оставляет пользователей открытыми перед неожиданными угрозами безопасности», — рассказали в Oasis.

Из-за этой проблемы любая организация, подключившая сторонние приложения к корпоративному хранилищу OneDrive, подвергается риску раскрытия данных. Уязвимость может использоваться злоумышленниками для кражи, изменения и шифрования данных в OneDrive. Проблема усугубляется тем, что последняя версия OneDrive File Picker требует, чтобы разработчики обрабатывали аутентификацию пользователей с помощью инструмента, который предполагает наличие конфиденциальных данных в хранилище браузера — хакерские атаки в таких условиях представляются особенно опасными. С этими токенами злоумышленники могут получить долгосрочный доступ ко всем файлам в учётной записи OneDrive.

Microsoft OneDrive File Picker — инструмент на основе JavaScript, который разработчики могут использовать для проектирования интерфейса своих веб-приложений, — он позволяет выбирать, загружать, сохранять файлы или делиться данными, хранящимися в OneDrive. Уязвимость касается компонента File Picker Oauth, который используется для аутентификации. Другими словами, приложения, использующие OneDrive File Picker, получают доступ не к отдельным файлам, а ко всему хранилищу сразу, и после завершения загрузки отдельного файла этот доступ может за ними сохраняться. От Microsoft комментариев по этому поводу не последовало.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В Telegram появился глобальный поиск по публичным постам, личный рейтинг и другие нововведения 2 ч.
«Новый стандарт шутеров от первого лица»: Electronic Arts подтвердила дату выхода, цену и королевскую битву Battlefield 6 3 ч.
Google снова проиграла суд Epic Games: отвертеться от сторонних магазинов приложений и платёжных систем в Android не вышло 3 ч.
Nvidia выпустила драйвер GeForce 580.88 с поддержкой Mafia: The Old Country и множеством исправлений в других играх 5 ч.
Mafia: The Old Country создавалась с учётом апскейлеров — «эпические» системные требования и особенности игры на ПК 5 ч.
В Epic Games Store стартовала раздача комедийного приключения ручной работы Pilgrims от создателей Machinarium и Samorost 6 ч.
THQ Nordic показала 12 минут геймплея Titan Quest 2 и раскрыла, что войдёт в игру на старте раннего доступа 7 ч.
Недоработки в системе защиты данных Spotify раскрыли музыкальный вкус знаменитостей и политиков 7 ч.
«СберТех» представил систему Platform V CopyWala для резервного копирования СУБД на базе PostgreSQL 7 ч.
Google защитит автозаполнение паролей в Chrome на Android биометрией 8 ч.
Новая статья: Попадание в струю: принтеры не только для чернил 2 ч.
HEDT-процессоры AMD Ryzen Threadripper 9000 поступили в продажу — у Intel аналогов нет 3 ч.
Пчёлам в Новой Зеландии провели спутниковый интернет от Starlink 5 ч.
Выпущенные в Индии iPhone увернулись от повышенных пошлин Трампа, пока что 6 ч.
G42 готова завершить сделку с Northern Data для получения доступа к ЦОД в Европе 7 ч.
Китайская Fourier показала «самого милого» гуманоидного робота для дома и школы 7 ч.
Galaxy S25 FE выйдет раньше, чем ожидалось — Samsung поделилась планами по выпуску новинок 8 ч.
Складные смартфоны набирают популярность: Galaxy Z Fold7 в полтора раза обогнал Fold6 по предзаказам в США 9 ч.
Microsoft впервые заработала на Game Pass $5 млрд за год — это сгладило рухнувшие на 22 % продажи консолей Xbox 10 ч.
«Компания не будет тратить на это деньги»: SpaceX ответит в суде за пренебрежение безопасностью сотрудников 10 ч.