Oasis Security heeft een kwetsbaarheid in Microsoft OneDrive ontdekt waardoor apps en websites volledige toegang krijgen tot alle bestanden van een OneDrive-gebruiker. Volgens Oasis Security ligt het gebrek aan een fijnmazige OAuth-implementatie aan de oorzaak van de problemen.
Het cybersecuritybedrijf schrijft in een blogpost dat het probleem zich in de Bestandenverkenner van OneDrive situeert. Dit onderdeel, dat momenteel aan versie 8 is en in externe apps of websites kan worden geïmplementeerd, zou geen fijnmazige implementatie van de OAuth-standaard bevatten en apps en websites standaard toegang geven tot alle bestanden, in plaats van enkel toegang tot de geselecteerde bestanden. De onderzoekers claimen ook dat Microsoft dit niet duidelijk communiceert naar de gebruikers.
De kwetsbaarheid zorgt volgens Oasis Security voor een verhoogd beveiligingsrisico bij zowel particulieren als bedrijven. Het bedrijf raadt daarom aan om alle apps of websites die toegang hebben tot OneDrive van gebruikers te controleren en eventueel leesrechten te ontzeggen. Particulieren die een controle willen uitvoeren op de verbonden apps en websites, kunnen het Privacy-paneel van het aparte Microsoft-account openen om daarna de rechten per app te controleren en deze eventueel te wijzigen. Microsoft is ingelicht over het probleem en denkt na over verbeteringen. Wanneer die geïmplementeerd worden, is echter niet duidelijk.
Source: Tweakers.net