Mit Microsofts OneDrive-Dienst scheint nicht alles in Ordnung zu sein, denn das Tool namens File Picker, das ursprünglich entwickelt wurde, um das Hochladen von Dateien schnell und einfach zu machen, ist nicht sicher genug. Nach Angaben von Sicherheitsforschern ermöglicht die File Picker-Funktion Anwendungen von Drittanbietern, Websites und sogar externen Nutzern den Zugriff auf den OneDrive-Speicher eines Nutzers, wenn auch nur mit Lesezugriff, was jedoch ein großes Problem darstellt. Dieses kritische Sicherheitsrisiko könnte nicht nur den Durchschnittsnutzer gefährden, sondern auch Geschäftsanwender und Unternehmen. Deshalb empfehlen die Sicherheitsforscher, dass jeder die Berechtigungen für verschiedene Dateien und die Berechtigungen für Apps und Websites, die auf den OneDrive-Speicher zugreifen, überprüfen sollte.
Die File Picker-Funktion wird von mehreren Online-Diensten genutzt, darunter auch der beliebte KI-Assistent ChatGPT von OpenAI. Dies wäre kein Problem, wenn es möglich wäre, Nutzern Zugriff auf eine bestimmte Datei zu gewähren und die Verfügbarkeit und Sichtbarkeit anderer Dateien einzuschränken, aber das ist hier nicht der Fall: Das Tool bietet praktisch vollständigen Lesezugriff auf externe Dienste, Websites und sogar externe Nutzer.
Dies wurde von den Mitarbeitern von Oasis Security festgestellt, die eine gründliche und umfassende Analyse der Funktionsweise des File Picker durchgeführt haben. Aus der Analyse geht hervor, dass der oben genannte Fehler Hunderte von Anwendungen betrifft, nicht nur ChatGPT, sondern auch beliebte Apps wie Trello, Slack oder sogar ClickUp. Da diese Apps und Dienste von Millionen von Menschen weltweit genutzt werden, hat eine große Anzahl dieser Nutzer ihnen wahrscheinlich Zugriff auf bestimmte Dateien im OneDrive-Speicher gegeben, aber tatsächlich haben sie Zugriff auf den gesamten Speicher erhalten, auch wenn sie nur Lesezugriff haben. Dies stellt ein großes Risiko dar, könnte zu Datenlecks führen und auch vertrauliche Unternehmensdaten gefährden.
Laut den Experten von Oasis Security besteht ein weiteres Problem darin, dass Microsoft die Nutzer nicht eindeutig informiert, wenn sie einen Datei-Upload über das Tool initiieren: Sie erfahren nicht genau, welche Befugnisse die App hat, wie viele Dateien sie abdeckt, und die irreführende Sprache macht es schwierig festzustellen, ob eine Anfrage von einer scheinbar legitimen App Teil eines Datendiebstahls ist.
Ein weiteres Problem ist, dass die geheimen Token, die das System nach Zugriffsanfragen speichert, nicht sicher sind. In File Picker 8.0 müssen Entwickler die Microsoft Authentication Library verwenden, um Benutzer mithilfe des Oauth Authorization Flow am System zu authentifizieren. Leider speichert die MSAL-API diese Token als Klartext im Sitzungsspeicher des Webbrowsers. Der Zugriff kann durch Authorization Flow über eine einfache Token-Aktualisierungsanforderung erweitert werden, und zwar auf unbestimmte Zeit, was ein Problem darstellt.
Aus diesem Grund ist es sinnvoll zu überprüfen, welche Anwendungen und Dienste in der Vergangenheit Zugriffsrechte erhalten haben. Die Experten von Oasis haben sich natürlich mit den Entwicklern von Microsoft sowie den Entwicklern der betroffenen Anwendungen und Dienste von Drittanbietern in Verbindung gesetzt, woraufhin Microsoft plant, den Dienst in Zukunft zu verbessern, was hoffentlich die Sicherheit erhöhen wird.
