Una recente indagine condotta ha portato alla luce una vulnerabilità importante nel servizio di cloud storage OneDrive di Microsoft. L’analisi è stata condotta da Oasis Security ed evidenzia un problema con File Picker. Una funzione progettata per facilitare il trasferimento e la selezione dei file da OneDrive verso applicazioni esterne. Eppure, proprio tale funzione si sta rivelando un potenziale punto debole in termini di sicurezza. Secondo quanto riportato dai ricercatori, File Picker non si limita a fornire accesso al file selezionato dall’utente. Al contrario, esso consente a siti web, applicazioni e altri servizi di terze parti di leggere l’intero contenuto dell’account OneDrive.
Vulnerabilità colpisce i dati degli utenti OneDrive
Tale accesso è formalmente “in sola lettura”. In pratica, però, permette una visualizzazione illimitata dei dati archiviati. La criticità di tale falla è evidente, soprattutto considerando che molti utenti conservano documenti sensibili, personali o lavorativi, all’interno del proprio spazio cloud. Il vero problema, sottolinea Oasis Security, risiede nella combinazione di autorizzazioni troppo generose, gestione discutibile dei token di accesso e una comunicazione poco trasparente verso gli utenti. Il sistema di autorizzazione basato su OAuth, infatti, può concedere accessi estesi senza che l’utente ne sia pienamente consapevole.
Inoltre, i token di accesso vengono spesso memorizzati in chiaro all’interno della sessione del browser. Rendendoli vulnerabili a furti da parte di malintenzionati. Non solo: alcuni di tali token possono essere rinnovati automaticamente tramite un meccanismo di “refresh token”, prolungando nel tempo l’accesso ottenuto da terze parti. Ben oltre quanto originariamente previsto.
Il rischio, quindi, è che un’applicazione, come OneDrive, apparentemente legittima possa diventare un vettore d’attacco per soggetti interessati a sottrarre informazioni riservate. Tra le piattaforme che usano File Picker di OneDrive ci sono ChatGPT, Slack, Trello e ClickUp.
Secondo Oasis, la responsabilità non ricade esclusivamente sul codice, ma anche sul modo in cui Microsoft comunica all’utente le autorizzazioni che sta per concedere. Al momento non resta che attendere che l’azienda rilasci una soluzione strutturale al problema. Nel frattempo, gli esperti raccomandano agli utenti di verificare le autorizzazioni concesse a servizi terzi tramite il proprio account Microsoft.
