A Microsoft OneDrive szolgáltatása körül a jelek szerint nincs minden rendben, ugyanis a File Picker névre keresztelt eszköz, ami eredetileg a gyors és egyszerű fájlfeltöltést segíti, nem kellően biztonságos. A biztonsági kutatók szerint a File Picker funkción keresztül egy-egy külsős alkalmazás, weboldal, illetve akár külső felhasználók is hozzáférhetnek az adott felhasználó OneDrive tárhely-tartalmához, igaz, csak olvasási jogkörrel, de ez is eléggé nagy problémát jelent. Ez a kritikus biztonsági kockázat nemcsak az átlagfelhasználókat sodorhatja veszélybe, hanem az üzleti felhasználókat és a cégeket is, éppen ezért azt ajánlják a biztonságtechnikai kutatók, mindenki vizsgálja felül a különböző fájlokhoz kiadott jogköröket és a OneDrive tárhelyhez hozzáférő appok és weboldalak számára biztosított jogköröket is.
A File Picker funkciót több online szolgáltatás is használja, például az OpenAI népszerű AI asszisztense, a ChatGPT is. Ezzel nem lenne baj, ha lehetőség lenne arra, hogy egy adott fájlhoz adjanak hozzáférést a felhasználók, korlátozva a többi fájl elérhetőségét és láthatóságát, de ebben az esetben nem ez a helyzet: az eszköz gyakorlatilag teljes olvasási hozzáférést kínál a külsős szolgáltatások, weboldalak, illetve akár a külső felhasználók számára is.
Erre az Oasis Security munkatársai mutattak rá, akik alaposan és teljes körűen elemezték a File Picker működését. Az elemzés alapján úgy tűnik, hogy a fentebb említett hiba több száz alkalmazást érint, nemcsak a ChatGPT-t, hanem olyan népszerű appokat is, mint amilyen a Trello, a Slack, vagy éppen a ClickUp. Mivel ezeket az appokat és szolgáltatásokat több millióan használják világszerte, így e felhasználók jó része valószínűleg hozzáférést adott számukra ahhoz, hogy a OneDrive tárhelyen elérjenek bizonyos fájlokat, de ezzel igazából a teljes tárhelyhez hozzáférést szereztek, még ha csak olvasási jogkörrel is. Ez óriási veszélyt jelent, adatszivárogtatáshoz vezethet és bizalmas céges adatokat is veszélybe sodorhat.
Az Oasis Security szakemberei szerint az is probléma, hogy a Microsoft nem tájékoztatja egyértelműen a felhasználókat akkor, ha fájlfeltöltést kezdeményeznek az említett eszközön keresztül: nem közlik velük, pontosan milyen jogkört kap az app, ez mennyi fájlra terjed ki, illetve a félrevezető nyelvezet miatt azt is nehéz eldönteni, a látszólag egy adott alkalmazástól érkező kérés jogos-e, vagy adatlopáshoz kapcsolódó cselekmény részét képezi.
Az is probléma, hogy a titkos tokenek, amelyeket a hozzáférési kérések után eltárol a rendszer, nincsenek biztonságban. A File Picker 8.0-s kiadásában a fejlesztők számára ugyan kötelező, hogy a Microsoft Authentication Library funkcióját használva felhasználó-azonosítást végeztessenek a rendszerrel az Oauth Authorization Flow segítségével, ám az MSAL API sajnos egyszerű szöveg formájában tárolja ezeket a tokeneket a webböngésző munkamenet-tárában. A hozzáférést az Authorization Flow ki tudja bővíteni egy egyszerű token-frissítési kérésen keresztül, ráadásul határozatlan időre, ami probléma.
A fentiek miatt mind az átlagfelhasználói, mind pedig a céges adatok veszélyben lehetnek, éppen ezért érdemes áttekinteni, mely alkalmazásoknak és szolgáltatásoknak milyen jogkört adtak korábban. Az Oasis szakemberei természetesen felvették a kapcsolatot a Microsoft fejlesztőivel, valamint az érintett külsős alkalmazások és szolgáltatások fejlesztőivel is, ennek eredményeként a Microsoft azt tervezi, a későbbiekben javít a szolgáltatáson, ami remélhetőleg fokozza a biztonságot.
