OneDrive: app e siti possono accedere a tutto il cloud

Quando si condivide un file con un'app come ChatGPT, in realtà le si concede l'accesso a tutto il drive.

[ZEUS News - www.zeusnews.it - 03-06-2025]

Una recente scoperta ha messo in luce una grave "leggerezza" nel comportamento di OneDrive, il servizio di cloud storage di Microsoft, tanto seria che si potrebbe paragonare a una vulnerabilità. La segnalazione si deve ai ricercatori di Oasis Security, i quali spiegano che questa falla permette a terze parti di accedere all'intero contenuto dello spazio di archiviazione OneDrive, anche quando si intende condividere con un servizio (come per esempio ChatGPT) un solo file, esponendo quindi dati sensibili a rischi significativi.

Il problema risiede nel sistema di autorizzazioni OAuth utilizzato da OneDrive e in particolare dallo strumento File Picker. Quando un utente concede il consenso per caricare un file (magari per condividerlo con una IA, al fine di utilizzarne i servizi), il sistema non limita l'accesso al solo file selezionato, ma imposta i permessi di lettura (e in alcuni casi di scrittura) per l'intero spazio di archiviazione.

Ciò avviene - spiega Oasis - perché OneDrive non offre controlli di accesso granulari e pertanto non può garantire l'accesso a un unico file: invece, lo garantisce all'interno drive. Questo comportamento è spiegato in una schermata di consenso che, però, utilizza un linguaggio vago che non chiarisce l'entità dell'accesso concesso, in un certo modo ingannando gli utenti che credono di condividere solo il file scelto.

A peggiorare la situazione c'è il fatto che i token di accesso generati durante il processo sono spesso gestiti in modo insicuro. Nelle versioni precedenti del File Picker di OneDrive (dalla 6.0 alla 7.2), questi token venivano memorizzati in localStorage o nell'URL, facilmente accessibili da attacchi locali.

Sullo stesso tema:

Windows 11, addio all'ultima scappatoia per evitare l'account online

Saccheggio informatico pronto per essere monetizzato

Office, spunta una versione gratis ma con la pubblicità

Windows 11, arriva la ricerca semantica

Ora ciò non succede più ma anche nella versione più recente (la 8.0), i token sono salvati in chiaro nella sessione del browser: ciò li rende potenzialmente accessibili a un malintenzionato che ottenga accesso al dispositivo. I token di aggiornamento poi, che consentono un accesso prolungato, amplificano ulteriormente il rischio, mantenendo i dati esposti per ore o più.

Oasis Security stima che centinaia di applicazioni, utilizzate da milioni di utenti, siano colpite, con conseguenze che includono potenziali fughe di dati e violazioni delle normative sulla privacy. Microsoft ha riconosciuto il fenomeno ma ha dichiarato che il sistema funziona come progettato; pertanto non ha piani immediati per una correzione.

Nel frattempo, gli esperti consigliano di rivedere e revocare i permessi delle app connesse tramite le impostazioni dell'account Microsoft (accessibili dalla pagina di accesso alle app) e di evitare l'uso dei token di aggiornamento. Per le aziende, si raccomanda di limitare l'accesso a OneDrive tramite OAuth fino a quando non sarà disponibile una soluzione più sicura.

Commenti all'articolo (2)

Gladiator

E la restante parte del merito va comunque agli utenti che continuano a farsi allegramente prevaricare, se usassi OneDrive - ma ovviamente non lo uso - dopo un'affermazione del genere la prima cose che farei se fossi un'utente è disdire l'abbonamento e se fossi un'azienda intenterei una causa.
5-6-2025 19:01

{nigriv}

"il sistema funziona come progettato", quindi il progetto prevede di assegnare permessi generalizzati. Microsoft ad ogni anno che passa diventa sempre più una junk-firm, e gran parte del merito, bisogna riconoscerlo, va a Psiconadella.
3-6-2025 14:57

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


Sicurezza(9 commenti) Blackout in Spagna, gli hacker non la raccontano giusta	News(10 commenti) Duolingo rimpiazza i consulenti a contratto con la IA

News(11 commenti)

Windows Recall è ora ufficialmente disponibile

News(8 commenti)

Meta sotto accusa: la sua IA fa sexting coi minori

Sicurezza(9 commenti)

Windows 11, la cartella misteriosa crea un problema di sicurezza

News(6 commenti)

"Imbrogliare su tutto": dagli esami universitari ai colloqui di lavoro

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

L'EASA e la FAA hanno dato il via libera all'uso di tablet, cellulari e dispositivi elettronici in generale in aereo anche durante decollo e atterraggio. Secondo te...