微软OneDrive文件选择器被曝存在高危安全漏洞

网络安全团队 Oasis Research Team 于5月28日发布报告，指出微软 OneDrive 文件选择器存在严重的安全漏洞。

报告中指出，该漏洞的成因在于文件选择器请求的权限范围过于宽泛，缺乏对 OAuth 权限的精细控制。即使用户只上传单个文件，系统仍会要求对整个云存储驱动器的读取权限。

这一设计使得用户难以判断哪些应用是恶意获取全部文件访问权限，哪些则是由于权限设置不完善而误申请过多权限。同时，用户在上传文件前看到的授权提示信息不够清晰，无法准确了解实际授予的权限范围，从而提升了潜在的安全风险。

Oasis 团队还指出，在授权过程中使用的 OAuth 令牌通常以明文形式存储在浏览器的会话存储中，容易被攻击者窃取。更严重的是，部分授权流程还会生成 refresh tokens，使应用程序在令牌过期后无需用户重新登录即可获取新的访问令牌，从而持续访问用户数据。

此类机制进一步扩大了安全隐患，可能导致个人和企业用户的数据长期处于暴露状态。目前，微软已接获相关报告，并确认了问题的存在，但尚未发布修复方案。