OneDrive: app e siti possono accedere a tutto il cloud

Quando si condivide un file con un'app come ChatGPT, in realtà le si concede l'accesso a tutto il drive.

[ZEUS News - www.zeusnews.it - 03-06-2025]

Una recente scoperta ha messo in luce una grave "leggerezza" nel comportamento di OneDrive, il servizio di cloud storage di Microsoft, tanto seria che si potrebbe paragonare a una vulnerabilità. La segnalazione si deve ai ricercatori di Oasis Security, i quali spiegano che questa falla permette a terze parti di accedere all'intero contenuto dello spazio di archiviazione OneDrive, anche quando si intende condividere con un servizio (come per esempio ChatGPT) un solo file, esponendo quindi dati sensibili a rischi significativi.

Il problema risiede nel sistema di autorizzazioni OAuth utilizzato da OneDrive e in particolare dallo strumento File Picker. Quando un utente concede il consenso per caricare un file (magari per condividerlo con una IA, al fine di utilizzarne i servizi), il sistema non limita l'accesso al solo file selezionato, ma imposta i permessi di lettura (e in alcuni casi di scrittura) per l'intero spazio di archiviazione.

Ciò avviene - spiega Oasis - perché OneDrive non offre controlli di accesso granulari e pertanto non può garantire l'accesso a un unico file: invece, lo garantisce all'interno drive. Questo comportamento è spiegato in una schermata di consenso che, però, utilizza un linguaggio vago che non chiarisce l'entità dell'accesso concesso, in un certo modo ingannando gli utenti che credono di condividere solo il file scelto.

A peggiorare la situazione c'è il fatto che i token di accesso generati durante il processo sono spesso gestiti in modo insicuro. Nelle versioni precedenti del File Picker di OneDrive (dalla 6.0 alla 7.2), questi token venivano memorizzati in localStorage o nell'URL, facilmente accessibili da attacchi locali.

Spunti di approfondimento:

Windows 11, addio all'ultima scappatoia per evitare l'account online

Saccheggio informatico pronto per essere monetizzato

Office, spunta una versione gratis ma con la pubblicità

Windows 11, arriva la ricerca semantica

Ora ciò non succede più ma anche nella versione più recente (la 8.0), i token sono salvati in chiaro nella sessione del browser: ciò li rende potenzialmente accessibili a un malintenzionato che ottenga accesso al dispositivo. I token di aggiornamento poi, che consentono un accesso prolungato, amplificano ulteriormente il rischio, mantenendo i dati esposti per ore o più.

Oasis Security stima che centinaia di applicazioni, utilizzate da milioni di utenti, siano colpite, con conseguenze che includono potenziali fughe di dati e violazioni delle normative sulla privacy. Microsoft ha riconosciuto il fenomeno ma ha dichiarato che il sistema funziona come progettato; pertanto non ha piani immediati per una correzione.

Nel frattempo, gli esperti consigliano di rivedere e revocare i permessi delle app connesse tramite le impostazioni dell'account Microsoft (accessibili dalla pagina di accesso alle app) e di evitare l'uso dei token di aggiornamento. Per le aziende, si raccomanda di limitare l'accesso a OneDrive tramite OAuth fino a quando non sarà disponibile una soluzione più sicura.

Sullo stesso tema:

Proton Docs, documenti al riparo da occhi indiscreti

Windows 11, il backup su OneDrive ora è attivo in automatico

Google Drive, scomparsi i file degli ultimi sei mesi

OneDrive, le foto negli album presto conteranno come doppie

Ti raccomandiamo anche:

Microsoft sbircia negli .zip anche se c'è la password

Amazon Drive chiude i battenti

Windows, il reset non cancella proprio tutti i dati dell'utente

Antitrust, 30 aziende contro Microsoft per colpa di OneDrive

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti

Microsoft si prepara a chiudere OneDrive per Windows 7 e Windows 8
OneDrive non funziona più? Colpa di Windows 10 versione 2004
OneDrive, ecco la cronologia delle versioni su desktop
App creative e integrazione con OneDrive
Microsoft, da SkyDrive a OneDrive

Commenti all'articolo (2)

Gladiator

E la restante parte del merito va comunque agli utenti che continuano a farsi allegramente prevaricare, se usassi OneDrive - ma ovviamente non lo uso - dopo un'affermazione del genere la prima cose che farei se fossi un'utente è disdire l'abbonamento e se fossi un'azienda intenterei una causa.
5-6-2025 19:01

{nigriv}

"il sistema funziona come progettato", quindi il progetto prevede di assegnare permessi generalizzati. Microsoft ad ogni anno che passa diventa sempre più una junk-firm, e gran parte del merito, bisogna riconoscerlo, va a Psiconadella.
3-6-2025 14:57

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(6 commenti) Meno popup fastidiosi: UE verso la semplificazione dei cookie	Maipiusenza(8 commenti) Google presenta il telecomando che non si scarica mai. La luce artificiale lo mantiene sempre carico

News(6 commenti)

Cloudflare spiega che cosa è successo. Tutta colpa di una configurazione

News(7 commenti)

Telemarketing aggressivo, operativo il filtro che impedisce lo spoofing dei numeri mobili

News(8 commenti)

Cloudflare in tilt. Migliaia di siti irraggiungibili, servizi bloccati in tutto il mondo

News(5 commenti)

Il PC desktop che si monta come i Lego: addio cavi, assemblaggio semplice

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: