Το OneDrive παρέχει πρόσβαση ανάγνωσης σε όλα τα αρχεία
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το OneDrive παρέχει πρόσβαση ανάγνωσης σε όλα τα αρχεία
https://www.secnews.gr/649545/onedrive-parexei-prosvasi-anagnosis-ola-arxeia/
May 28th 2025, 16:40
by Absenta Mia
Η υπερβολική χορήγηση δικαιωμάτων και οι ασαφείς δηλώσεις συγκατάθεσης ενδέχεται να επιτρέπουν σε διαδικτυακές εφαρμογές που ανεβάζουν αρχεία στο OneDrive να αποκτούν πρόσβαση ανάγνωσης σε όλα τα αρχεία του χρήστη, αντί μόνο σε αυτά που σχετίζονται με τη μεταφόρτωση.
Δείτε επίσης: Σφάλμα του OneDrive προκαλεί πάγωμα εφαρμογών στο macOS
Το πρόβλημα προκύπτει από τη χρήση υπερβολικά γενικών πεδίων (scopes) στο OAuth για το OneDrive. Αυτό έχει ως αποτέλεσμα ο File Picker του OneDrive να ζητά πρόσβαση ανάγνωσης σε όλα τα αρχεία του χρήστη και όχι μόνο σε εκείνα που ανεβαίνουν τη δεδομένη στιγμή. Η κατάσταση επιδεινώνεται από τα παράθυρα διαλόγου συγκατάθεσης, τα οποία δεν είναι τόσο σαφή όσο θα έπρεπε, με αποτέλεσμα οι χρήστες να δίνουν άθελά τους πρόσβαση σε εφαρμογές τρίτων.
Το πρόβλημα αναλύεται από τον Elad Luz, επικεφαλής έρευνας στην Oasis Security. «Με απλά λόγια,» εξηγεί ο ερευνητής, «οποιαδήποτε διαδικτυακή εφαρμογή χρησιμοποιεί το OneDrive File Picker έχει πρόσβαση όχι μόνο στο αρχείο που επιλέγει ο χρήστης για αποστολή ή λήψη, αλλά σε ολόκληρο το OneDrive του. Ακόμη χειρότερα, αυτή η πρόσβαση μπορεί να παραμείνει ενεργή και μετά την ολοκλήρωση της μεταφόρτωσης.»
Δείτε ακόμα: Νέος Σχεδιασμός OneDrive: Η Εξέλιξη της Εμπειρίας Χρήστη με τη Microsoft
Πρόκειται για μια κλασική παραβίαση της αρχής της ελάχιστης αναγκαίας πρόσβασης (least privilege).
Το OneDrive παρέχει πρόσβαση ανάγνωσης σε όλα τα αρχεία
Ο Luz κατονομάζει πέντε ευρέως χρησιμοποιούμενες εφαρμογές που επηρεάζονται: ChatGPT, Slack, Trello, Zoom και ClickUp, ενώ εκτιμά ότι εκατοντάδες άλλες εφαρμογές ενδέχεται επίσης να επηρεάζονται. Η Oasis κοινοποίησε τις ανησυχίες της στη Microsoft, η οποία «κατέγραψε την αναφορά και ενδέχεται να εξετάσει βελτιώσεις στο μέλλον.» Ωστόσο, ο Luz σημειώνει επίσης ότι άλλοι πάροχοι υπηρεσιών cloud κάνουν χρήση πιο εξειδικευμένων και περιορισμένων επιλογών πρόσβασης.
Δείτε επίσης: Το νέο τέχνασμα των Windows 11 επιτρέπει παράκαμψη του Microsoft Account
Ακόμη χειρότερα, οι χρήστες συχνά δεν συνειδητοποιούν πόσα ευαίσθητα δεδομένα μπορεί να περιέχουν τα αρχεία τους στο OneDrive. «Σαρωμένα έγγραφα που καταλήγουν στους φακέλους "Οι Εικόνες μου" ή "Τα Έγγραφά μου" μπορεί να περιέχουν πληροφορίες-κλειδιά για την πιστωτική ταυτότητα και το προσωπικό προφίλ κάποιου. Ιδιωτικά ιατρικά ή τραπεζικά έγγραφα μπορεί να έχουν αποθηκευτεί και ξεχαστεί, ενώ προσωπικές φωτογραφίες που τραβήχτηκαν κατά λάθος και συγχρονίστηκαν αυτόματα από το κινητό στον υπολογιστή, μπορούν επίσης να βρεθούν σιωπηλά στους φακέλους που συγχρονίζονται με το OneDrive,» προσθέτει ο Jamie Boote, αναπληρωτής επικεφαλής σύμβουλος ασφάλειας στην Black Duck.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το OneDrive παρέχει πρόσβαση ανάγνωσης σε όλα τα αρχεία
https://www.secnews.gr/649545/onedrive-parexei-prosvasi-anagnosis-ola-arxeia/
May 28th 2025, 16:40
by Absenta Mia
Η υπερβολική χορήγηση δικαιωμάτων και οι ασαφείς δηλώσεις συγκατάθεσης ενδέχεται να επιτρέπουν σε διαδικτυακές εφαρμογές που ανεβάζουν αρχεία στο OneDrive να αποκτούν πρόσβαση ανάγνωσης σε όλα τα αρχεία του χρήστη, αντί μόνο σε αυτά που σχετίζονται με τη μεταφόρτωση.
Δείτε επίσης: Σφάλμα του OneDrive προκαλεί πάγωμα εφαρμογών στο macOS
Το πρόβλημα προκύπτει από τη χρήση υπερβολικά γενικών πεδίων (scopes) στο OAuth για το OneDrive. Αυτό έχει ως αποτέλεσμα ο File Picker του OneDrive να ζητά πρόσβαση ανάγνωσης σε όλα τα αρχεία του χρήστη και όχι μόνο σε εκείνα που ανεβαίνουν τη δεδομένη στιγμή. Η κατάσταση επιδεινώνεται από τα παράθυρα διαλόγου συγκατάθεσης, τα οποία δεν είναι τόσο σαφή όσο θα έπρεπε, με αποτέλεσμα οι χρήστες να δίνουν άθελά τους πρόσβαση σε εφαρμογές τρίτων.
Το πρόβλημα αναλύεται από τον Elad Luz, επικεφαλής έρευνας στην Oasis Security. «Με απλά λόγια,» εξηγεί ο ερευνητής, «οποιαδήποτε διαδικτυακή εφαρμογή χρησιμοποιεί το OneDrive File Picker έχει πρόσβαση όχι μόνο στο αρχείο που επιλέγει ο χρήστης για αποστολή ή λήψη, αλλά σε ολόκληρο το OneDrive του. Ακόμη χειρότερα, αυτή η πρόσβαση μπορεί να παραμείνει ενεργή και μετά την ολοκλήρωση της μεταφόρτωσης.»
Δείτε ακόμα: Νέος Σχεδιασμός OneDrive: Η Εξέλιξη της Εμπειρίας Χρήστη με τη Microsoft
Πρόκειται για μια κλασική παραβίαση της αρχής της ελάχιστης αναγκαίας πρόσβασης (least privilege).
Το OneDrive παρέχει πρόσβαση ανάγνωσης σε όλα τα αρχεία
Ο Luz κατονομάζει πέντε ευρέως χρησιμοποιούμενες εφαρμογές που επηρεάζονται: ChatGPT, Slack, Trello, Zoom και ClickUp, ενώ εκτιμά ότι εκατοντάδες άλλες εφαρμογές ενδέχεται επίσης να επηρεάζονται. Η Oasis κοινοποίησε τις ανησυχίες της στη Microsoft, η οποία «κατέγραψε την αναφορά και ενδέχεται να εξετάσει βελτιώσεις στο μέλλον.» Ωστόσο, ο Luz σημειώνει επίσης ότι άλλοι πάροχοι υπηρεσιών cloud κάνουν χρήση πιο εξειδικευμένων και περιορισμένων επιλογών πρόσβασης.
Δείτε επίσης: Το νέο τέχνασμα των Windows 11 επιτρέπει παράκαμψη του Microsoft Account
Ακόμη χειρότερα, οι χρήστες συχνά δεν συνειδητοποιούν πόσα ευαίσθητα δεδομένα μπορεί να περιέχουν τα αρχεία τους στο OneDrive. «Σαρωμένα έγγραφα που καταλήγουν στους φακέλους "Οι Εικόνες μου" ή "Τα Έγγραφά μου" μπορεί να περιέχουν πληροφορίες-κλειδιά για την πιστωτική ταυτότητα και το προσωπικό προφίλ κάποιου. Ιδιωτικά ιατρικά ή τραπεζικά έγγραφα μπορεί να έχουν αποθηκευτεί και ξεχαστεί, ενώ προσωπικές φωτογραφίες που τραβήχτηκαν κατά λάθος και συγχρονίστηκαν αυτόματα από το κινητό στον υπολογιστή, μπορούν επίσης να βρεθούν σιωπηλά στους φακέλους που συγχρονίζονται με το OneDrive,» προσθέτει ο Jamie Boote, αναπληρωτής επικεφαλής σύμβουλος ασφάλειας στην Black Duck.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz