Sicherheitslücke in Microsofts Onedrive File Picker: Risiken für Nutzer

LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke in Microsofts Onedrive File Picker sorgt für Besorgnis unter Nutzern und Experten gleichermaßen. Diese Schwachstelle könnte weitreichende Folgen für die Datensicherheit haben und betrifft zahlreiche beliebte Webanwendungen.

Die Sicherheitslücke in Microsofts Onedrive File Picker hat das Potenzial, Nutzerdaten in großem Umfang zu gefährden. Sicherheitsforscher von Oasis Security haben herausgefunden, dass der File Picker, der eigentlich nur Zugriff auf ausgewählte Dateien gewähren sollte, stattdessen den gesamten Onedrive-Ordner für Webanwendungen zugänglich macht. Dies betrifft unter anderem Anwendungen wie ChatGPT, Slack und Trello, die von Millionen Nutzern weltweit verwendet werden.

Das Problem liegt in den zu umfangreichen Berechtigungen, die der File Picker anfordert. Anstatt nur die notwendigen Leserechte für ausgewählte Dateien zu erteilen, wird der Zugriff auf das gesamte Onedrive-Verzeichnis ermöglicht. Diese unzureichend abgestimmten OAuth Scopes führen dazu, dass Nutzer unwissentlich umfassende Leserechte gewähren, was erhebliche Sicherheitsrisiken birgt.

Ein weiteres Problem ist die unsichere Speicherung von Zugangs- und Refresh-Tokens. Diese werden häufig im Klartext im Local Storage oder Session Storage des Webbrowsers abgelegt, was das Risiko eines unbefugten Zugriffs erhöht. Besonders kritisch ist dies, wenn eine Web-App Zugriff auf ein Refresh-Token hat, da sie damit neue Zugangstokens anfordern und länger auf die Onedrive-Daten zugreifen kann.

Microsoft hat bisher keine Lösung für diese Sicherheitsprobleme präsentiert, jedoch angekündigt, den Onedrive File Picker zu verbessern, um eine präzisere Abstimmung der angeforderten Berechtigungen zu ermöglichen. Nutzer sollten in der Zwischenzeit die Zugriffsrechte ihrer Apps in den Datenschutzeinstellungen ihres Microsoft-Kontos überprüfen und gegebenenfalls den Zugriff entziehen.

Im Vergleich zu Microsoft scheinen die konkurrierenden Cloudspeicherdienste Google Drive und Dropbox keine vergleichbaren Sicherheitsprobleme aufzuweisen. Dies könnte Microsoft unter Druck setzen, schnell eine Lösung zu finden, um das Vertrauen der Nutzer nicht zu verlieren.

Die Entdeckung dieser Sicherheitslücke wirft ein Schlaglicht auf die Notwendigkeit, die Sicherheit von Cloud-Diensten kontinuierlich zu überwachen und zu verbessern. Angesichts der zunehmenden Abhängigkeit von Cloud-Diensten ist es entscheidend, dass Unternehmen wie Microsoft proaktiv handeln, um die Daten ihrer Nutzer zu schützen.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

75,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!