Nelle scorse ore è stato scoperto un bug di OneDrive legato al File Picker. Si tratta di un modulo di Microsoft attraverso il quale è possibile selezionare un determinato file da caricare su altre app, come ChatGPT, Slack, Trello e altri servizi. L'errore in questione mette potenzialmente a rischio milioni di utenti, dato che il bug potrebbe esporre l'intero archivio, quindi tutti i dati, e non il singolo file. A riportarlo è un'indagine pubblicata da Oasis Security. Cerchiamo di fare chiarezza.
Errore nel File Picker di Microsoft
Come già anticipato, l'errore riguarda il modulo File Picker, generalmente presente nelle applicazioni già menzionate sopra. Attraverso questo bug, al momento della selezione di un file da caricare, l'applicazione ottiene l'accesso all'intero contenuto del vostro account OneDrive, quindi non si limita al singolo file selezionato. Il problema principale riguarda l'assenza di OAuth scopes (autorizzazioni granulari).
Attraverso questo protocollo l'utente può fornire l'accesso a un determinato file, ad esempio consentendo solo la lettura del file. In assenza di scopes granulari l'utente è esposto a rischi nettamente maggiori, in quanto l'applicazione potrebbe accedere a molti dati indesiderati.
Discorso diverso per Google Drive o Dropbox, che accedono ai file esplicitamente selezionati, con una gestione dei token di accesso molto più sicura e limitata. Per ora le applicazioni web sono le principali vittime di questo bug, ma potrebbero subentrarne molte altre.
Quali versioni sono a rischio
In attesa di una vera e propria risoluzione da parte di Microsoft, Oasis Security suggerisce di controllare le impostazioni legate alla privacy, limitando le autorizzazioni concesse. Pare che le versioni del File Picker più vulnerabili siano quelle che rientrano nella fascia 6.0 - 7.2, dato che il token di accesso passa nell'URL e viene poi memorizzato nel localStorage. Ciò porterebbe quindi a potenziali rischi di furti.
La versione 8.0, invece, dovrebbe essere più sicura (seppur non al 100%), in quanto il token non passa nell'URL ma viene comunque salvato nel sessionStorage. Vi aggiorneremo non appena avremo maggiori informazioni.
