Ευπάθεια του OneDrive File Picker εκθέτει oλόκληρο τον Cloud αποθηκευτικό xώρο των xρηστών σε τρίτους

[nnn]

Μια κρίσιμη ατέλεια ασφαλείας στο OneDrive File Picker της Microsoft έχει εκθέσει εκατομμύρια χρήστες σε μη εξουσιοδοτημένη πρόσβαση δεδομένων. Αυτό επιτρέπει σε εφαρμογές τρίτων να αποκτήσουν πλήρη πρόσβαση σε ολόκληρο τον αποθηκευτικό χώρο OneDrive των χρηστών, αντί μόνο στα επιλεγμένα αρχεία.

Ερευνητές ασφαλείας από την Oasis Security ανέφεραν στις 28 Μαΐου 2025 ότι αυτή η ευπάθεια προέρχεται από υπερβολικά ευρείς περιορισμούς OAuth (scopes) και παραπλανητικές οθόνες συγκατάθεσης που δεν επικοινωνούν σαφώς το εύρος της πρόσβασης που χορηγείται. Η ατέλεια του OneDrive File Picker επηρεάζει εκατοντάδες ευρέως χρησιμοποιούμενες εφαρμογές ιστού, συμπεριλαμβανομένων των ChatGPT, Slack, Trello και ClickUp, θέτοντας δυνητικά εκατομμύρια χρήστες σε κίνδυνο.

Πώς Προκύπτει η Ευπάθεια
Η ευπάθεια προκύπτει από την υλοποίηση του επιλογέα ανεπαρκούς διαβάθμισης εύρους OAuth, η οποία ζητά εκτεταμένες δικαιώματα File Access.Read.All ή Files.ReadWrite.All ακόμη και όταν οι χρήστες σκοπεύουν να ανεβάσουν ή να μοιραστούν ένα μόνο αρχείο.

Σε αντίθεση με ανταγωνιστές όπως το Google Drive, το οποίο προσφέρει λεπτομερείς περιορισμούς OAuth όπως το drive.file για να περιορίσει την πρόσβαση σε αρχεία που δημιουργήθηκαν από την εφαρμογή ή επιλέχθηκαν από το χρήστη, η υλοποίηση της Microsoft χορηγεί απεριόριστη πρόσβαση σε όλο το περιεχόμενο του OneDrive. Το Dropbox χρησιμοποιεί μια ακόμη πιο ασφαλή προσέγγιση με το Chooser SDK, χρησιμοποιώντας ένα ιδιόκτητο τελικό σημείο που αποφεύγει εντελώς τις ροές OAuth.

Ο διάλογος συγκατάθεσης που παρουσιάζεται στους χρήστες είναι ιδιαίτερα προβληματικός, καθώς δεν μεταφέρει ότι ένα κλικ χορηγεί στον ενσωματωτή πρόσβαση σε κάθε αρχείο και φάκελο στο OneDrive του χρήστη, όχι μόνο στο έγγραφο που σκόπευε να μοιραστεί.

Κίνδυνοι Ασφαλείας
Οι επισφαλείς πρακτικές αποθήκευσης tokens σε διαφορετικές εκδόσεις του OneDrive File Picker αυξάνουν τους κινδύνους ασφαλείας, σύμφωνα με την έκθεση της Oasis Security. Οι παλαιότερες εκδόσεις (6.0-7.2) χρησιμοποιούσαν ροές έμμεσης επαλήθευσης που εξέθεταν ευαίσθητα tokens πρόσβασης σε fragments URL ή τα αποθήκευαν ανασφαλώς στο browser localStorage. Η τελευταία έκδοση (8.0) απαιτεί από τους προγραμματιστές να χειρίζονται την επαλήθευση χρησιμοποιώντας τη Microsoft Authentication Library (MSAL), αλλά εξακολουθεί να αποθηκεύει tokens σε session storage σε απλό κείμενο. Η υλοποίηση της ροής εξουσιοδότησης του MSAL δημιουργεί πρόσθετες ευπάθειες εκδίδοντας δυνητικά Refresh Tokens που επεκτείνουν τις περιόδους πρόσβασης πέρα από την τυπική λήξη του token μιας ώρας.

Αυτά τα tokens μεγάλης διάρκειας, όταν αποθηκεύονται σε cache σε localStorage ή σε βάσεις δεδομένων backend χωρίς κρυπτογράφηση, δημιουργούν επίμονα διανύσματα επίθεσης για κακόβουλους παράγοντες που επιδιώκουν πρόσβαση σε ολόκληρα αποθετήρια OneDrive. Η τεχνική υλοποίηση απαιτεί από τους προγραμματιστές να ζητούν δικαιώματα όπως MyFiles.Read, Sites.Read.All ή Files.ReadWrite.All μέσω αντιπροσωπευτικών δικαιωμάτων, αλλά η έλλειψη δικαιωμάτων περιορισμένης πρόσβασης σε αρχεία καθιστά αδύνατο τον περιορισμό της πρόσβασης σε συγκεκριμένα έγγραφα.

Ανταπόκριση της Microsoft και Συστάσεις
Η Microsoft αναγνώρισε την αναφορά ασφαλείας και δήλωσε ότι «μπορεί να εξετάσει βελτιώσεις στο μέλλον», αν και δεν έχει δοθεί συγκεκριμένο χρονοδιάγραμμα.

Οι ειδικοί ασφαλείας συνιστούν άμεση δράση τόσο από τους χρήστες όσο και από τους οργανισμούς για τον μετριασμό των κινδύνων. Για μεμονωμένους χρήστες, οι ειδικοί συμβουλεύουν την αναθεώρηση της πρόσβασης εφαρμογών τρίτων μέσω των ρυθμίσεων απορρήτου του Microsoft Account και την ανάκληση περιττών δικαιωμάτων. Οι οργανισμοί θα πρέπει να εφαρμόσουν πολιτικές συγκατάθεσης διαχειριστή ή ελέγχους υπό όρους πρόσβασης που αποκλείουν εφαρμογές που ζητούν οτιδήποτε πέρα από τα δικαιώματα Files.Read.

Οι προγραμματιστές εφαρμογών ιστού καλούνται να αποφεύγουν την αίτηση offline πρόσβασης που δημιουργεί Refresh Tokens και να εφαρμόζουν ασφαλείς πρακτικές αποθήκευσης tokens. Επιπλέον, οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τα αρχεία καταγραφής Graph API και Cloud Access Security Broker (CASB) για ανώμαλα μοτίβα πρόσβασης στο OneDrive.

Μπορείτε να βρείτε το πρωτότυπο άρθρο εδώ: OneDrive File Picker Vulnerability Exposes Users' Entire Cloud Storage to Websites

[Gentoo]

"Ε, θα μου πείτε, τι πιο σύνηθες να συμβεί"

Ποτέ δεν εμπιστεύτηκα τα δεδομένα μου σε clouds, για κάτι τέτοιες περιπτώσεις, κι ούτε πρόκειται.

Home file server κι έχεις το κεφάλι σου ήσυχο.

Και offline backup σε δίσκους, σε άλλες τοποθεσίες.

Ναι, σίγουρα κοστίζει κι αυτό, αλλά δεν διαχειρίζονται τα δεδομένα σου τρίτοι.

Ούτε θα ξυπνήσεις ένα πρωί και θα διαβάσεις σε mail ότι η εκάστοτε πολιτική έχει αλλάξει ή ότι πρέπει να αυξομειωθεί ο χώρος και το κόστος ή ότι θα καταργηθεί η υπηρεσία σε 30/60/90 μέρες και θα πρέπει να κάνεις migrate τα data σου αλλού.

Ο καθένας επιλέγει και παίρνει.

[Zus]

"Ε, θα μου πείτε, τι πιο σύνηθες να συμβεί"

Ποτέ δεν εμπιστεύτηκα τα δεδομένα μου σε clouds, για κάτι τέτοιες περιπτώσεις, κι ούτε πρόκειται.

Home file server κι έχεις το κεφάλι σου ήσυχο.

Και offline backup σε δίσκους, σε άλλες τοποθεσίες.

Ναι, σίγουρα κοστίζει κι αυτό, αλλά δεν διαχειρίζονται τα δεδομένα σου τρίτοι.

Ούτε θα ξυπνήσεις ένα πρωί και θα διαβάσεις σε mail ότι η εκάστοτε πολιτική έχει αλλάξει ή ότι πρέπει να αυξομειωθεί ο χώρος και το κόστος ή ότι θα καταργηθεί η υπηρεσία σε 30/60/90 μέρες και θα πρέπει να κάνεις migrate τα data σου αλλού.

Ο καθένας επιλέγει και παίρνει.

Εδώ και λίγο καιρό έχω εμπιστευτεί τα πάντα στην proton, με premium λογαριασμό.

[newbye]

Εδώ και λίγο καιρό έχω εμπιστευτεί τα πάντα στην proton, με premium λογαριασμό.

Ένα πράγμα που χάνεται στον κόσμο αυτό είναι η εμπιστοσύνη

[Gentoo]

Εδώ και λίγο καιρό έχω εμπιστευτεί τα πάντα στην proton, με premium λογαριασμό.

Έχω κι εγώ proton premium (10 χρόνια πελάτης τους) με 500gb storage αλλά δεν βάζω ούτε σ αυτούς.

Όπως επίσης και τον password manager τους δεν χρησιμοποιώ.

Μόνο mail + vpn.

Όχι γιατί δεν εμπιστεύομαι τους ίδιους, απλώς ποτέ δεν ξέρεις τι στραβή μπορεί να συμβεί.

Αν και όλα ανεβαίνουν encrypted by default σ αυτούς.

Και πάλι, ξέρω αν υπάρχει κανένα backport ή κάνα vulnerability που μπορεί να κάνει decrypt τα data?

Για passwords έχω στήσει στον home server μου vaultwarden.

[Zus]

Έχω κι εγώ proton premium (10 χρόνια πελάτης τους) με 500gb storage αλλά δεν βάζω ούτε σ αυτούς.

Όπως επίσης και τον password manager τους δεν χρησιμοποιώ.

Μόνο mail + vpn.

Όχι γιατί δεν εμπιστεύομαι τους ίδιους, απλώς ποτέ δεν ξέρεις τι στραβή μπορεί να συμβεί.

Αν και όλα ανεβαίνουν encrypted by default σ αυτούς.

Και πάλι, ξέρω αν υπάρχει κανένα backport ή κάνα vulnerability που μπορεί να κάνει decrypt τα data?

Για passwords έχω στήσει στον home server μου vaultwarden.

Και τι χρησιμοποιείς δηλαδή από το premium. Mail + calendar?

[Gentoo]

Και τι χρησιμοποιείς δηλαδή από το premium. Mail + calendar?

Mail + VPN.

Δεν χρειάζομαι κάτι άλλο.

Έχω ειδική συνδρομή ως παλιός τους πελάτης και πληρώνω 3.30 ευρώ το μήνα για το proton unlimited.

Spoiler:

[goku]

Ποτέ δεν εμπιστεύτηκα τα δεδομένα μου σε clouds, για κάτι τέτοιες περιπτώσεις, κι ούτε πρόκειται.

Θα μπορούσες να τα ανεβάσεις κρυπτογραφημένα. Εγώ πληρώνω Microsoft 365 και έχω 1ΤΒ στο onedrive, και ανεβάζω αβέρτα. Απλώς όλα τα ανεβάζω με κρυπτογράφηση.

[Gentoo]

Θα μπορούσες να τα ανεβάσεις κρυπτογραφημένα. Εγώ πληρώνω Microsoft 365 και έχω 1ΤΒ στο onedrive, και ανεβάζω αβέρτα. Απλώς όλα τα ανεβάζω με κρυπτογράφηση.

Ναι το γνωρίζω. Αλλά ποτέ δεν ξέρεις τι ευπάθειες μπορεί να υπάρχουν και στα encryption algorithms.

Οπότε διατηρώντας τα στα δικά μου χέρια, είναι ένα layer πιο ασφαλή, με την προϋπόθεση φυσικά να μη γίνει breached και τοπικά ο server.

[DVader]

Θα μπορούσες να τα ανεβάσεις κρυπτογραφημένα. Εγώ πληρώνω Microsoft 365 και έχω 1ΤΒ στο onedrive, και ανεβάζω αβέρτα. Απλώς όλα τα ανεβάζω με κρυπτογράφηση.

Μέχρι να ανακοινωθεί ότι κάπου έχουν από λάθος αποθηκευτεί τα κλειδιά και απέκτησαν πρόσβαση κάποιοι ....

Πραγματικά ώρες ώρες δεν καταλαβαίνω την μανία του κόσμου για το cloud...

[goku]

Μέχρι να ανακοινωθεί ότι κάπου έχουν από λάθος αποθηκευτεί τα κλειδιά και απέκτησαν πρόσβαση κάποιοι ....

Πραγματικά ώρες ώρες δεν καταλαβαίνω την μανία του κόσμου για το cloud...

Ότι κλειδιά ενδεχομένως να αποθηκευτούν θα είναι τοπικά στον υπολογιστή. Αν αποκτήσουν πρόσβαση στον υπολογιστή τότε αυτόματα θα έχουν αποκτήσει πρόσβαση και στα αρχεία οπότε είτε έχει κρυπτογράφηση είτε δεν έχεις είναι το ίδιο και το αυτό. Ενώ αν αποκτήσουν πρόσβαση στο cloud δεν θα έχουν τα κλειδιά για την αποκρυπτογράφηση.

[Gentoo]

Ότι κλειδιά ενδεχομένως να αποθηκευτούν θα είναι τοπικά στον υπολογιστή. Αν αποκτήσουν πρόσβαση στον υπολογιστή τότε αυτόματα θα έχουν αποκτήσει πρόσβαση και στα αρχεία οπότε είτε έχει κρυπτογράφηση είτε δεν έχεις είναι το ίδιο και το αυτό. Ενώ αν αποκτήσουν πρόσβαση στο cloud δεν θα έχουν τα κλειδιά για την αποκρυπτογράφηση.

Δεν σε καλύπτει 100% αυτό.

Αν υπάρχει κάποιο vulnerability μπορεί εν δυνάμει να αποκρυπτογραφηθούν.

Εξαιρετικά απίθανο σενάριο βέβαια αλλά ποτέ δεν ξέρεις.

Είδες τι έγινε πριν λίγους μήνες με το xz-utils και το openssh.

[Tony_Ts]

Για να μην ξεχνιόμαστε... https://nerds.net/wp-content/uploads...ty-750x646.jpg

[kotsonatos04]

Mail + VPN.

Δεν χρειάζομαι κάτι άλλο.

Έχω ειδική συνδρομή ως παλιός τους πελάτης και πληρώνω 3.30 ευρώ το μήνα για το proton unlimited.

Spoiler:

Τυχερέ!

Ούτε Black Friday τέτοιες προσφορές.

[Gentoo]

Τυχερέ!

Ούτε Black Friday τέτοιες προσφορές.

Ισχύει!

Το έκανε σαν δώρο η Proton σε όσους paid users ήταν από τα πρώτα χρόνια, σαν ένδειξη ευγνωμοσύνης