Una recente scoperta ha messo in luce una grave "leggerezza" nel comportamento di OneDrive, il servizio di cloud storage di Microsoft, tanto seria che si potrebbe paragonare a una vulnerabilità. La segnalazione si deve ai ricercatori di Oasis Security, i quali spiegano che questa falla permette a terze parti di accedere all'intero contenuto dello spazio di archiviazione OneDrive, anche quando si intende condividere con un servizio (come per esempio ChatGPT) un solo file, esponendo quindi dati sensibili a rischi significativi.

Il problema risiede nel sistema di autorizzazioni OAuth utilizzato da OneDrive e in particolare dallo strumento File Picker. Quando un utente concede il consenso per caricare un file (magari per condividerlo con una IA, al fine di utilizzarne i servizi), il sistema non limita l'accesso al solo file selezionato, ma imposta i permessi di lettura (e in alcuni casi di scrittura) per l'intero spazio di archiviazione.

Ciò avviene - spiega Oasis - perché OneDrive non offre controlli di accesso granulari e pertanto non può garantire l'accesso a un unico file: invece, lo garantisce all'interno drive. Questo comportamento è spiegato in una schermata di consenso che, però, utilizza un linguaggio vago che non chiarisce l'entità dell'accesso concesso, in un certo modo ingannando gli utenti che credono di condividere solo il file scelto.

A peggiorare la situazione c'è il fatto che i token di accesso generati durante il processo sono spesso gestiti in modo insicuro. Nelle versioni precedenti del File Picker di OneDrive (dalla 6.0 alla 7.2), questi token venivano memorizzati in localStorage o nell'URL, facilmente accessibili da attacchi locali.

Consigliamo la lettura di:

Windows 11, addio all'ultima scappatoia per evitare l'account online

Saccheggio informatico pronto per essere monetizzato

Office, spunta una versione gratis ma con la pubblicità

Windows 11, arriva la ricerca semantica

Ora ciò non succede più ma anche nella versione più recente (la 8.0), i token sono salvati in chiaro nella sessione del browser: ciò li rende potenzialmente accessibili a un malintenzionato che ottenga accesso al dispositivo. I token di aggiornamento poi, che consentono un accesso prolungato, amplificano ulteriormente il rischio, mantenendo i dati esposti per ore o più.

Oasis Security stima che centinaia di applicazioni, utilizzate da milioni di utenti, siano colpite, con conseguenze che includono potenziali fughe di dati e violazioni delle normative sulla privacy. Microsoft ha riconosciuto il fenomeno ma ha dichiarato che il sistema funziona come progettato; pertanto non ha piani immediati per una correzione.

Nel frattempo, gli esperti consigliano di rivedere e revocare i permessi delle app connesse tramite le impostazioni dell'account Microsoft (accessibili dalla pagina di accesso alle app) e di evitare l'uso dei token di aggiornamento. Per le aziende, si raccomanda di limitare l'accesso a OneDrive tramite OAuth fino a quando non sarà disponibile una soluzione più sicura.

Per approfondire:

Proton Docs, documenti al riparo da occhi indiscreti

Windows 11, il backup su OneDrive ora è attivo in automatico

Google Drive, scomparsi i file degli ultimi sei mesi

OneDrive, le foto negli album presto conteranno come doppie

Articoli raccomandati:

Microsoft sbircia negli .zip anche se c'è la password

Amazon Drive chiude i battenti

Windows, il reset non cancella proprio tutti i dati dell'utente

Antitrust, 30 aziende contro Microsoft per colpa di OneDrive