OneDriveのセキュリティ脆弱性、過剰な権限によりユーザーデータが危険にさらされる可能性

MicrosoftのOneDriveに新たなセキュリティ脆弱性が見つかりました。これにより、悪意のある攻撃者がユーザーのクラウドアーカイブ全体にアクセスできる可能性があると警告されています。この脆弱性は、OneDriveのFile Pickerというツールに起因しており、ファイルアクセスに必要なOAuthスコープの設定が詳細に管理されていないことが問題です。File Pickerは、ウェブサイトやアプリケーションがOneDriveのクラウドストレージに直接アクセスできるようにするツールで、ユーザーは第三者のインターフェース内でOneDriveのアカウントを管理できます。しかし、過剰な権限の要求と誤解を招く承認画面が問題で、ユーザーはどれほどのアクセス権限が付与されるかを十分に理解していないことが指摘されています。Oasis Researchチームは、この問題をMicrosoftに報告していますが、現在までに修正は行われていません。