OneDrive文件选择器陷安全危机：权限过宽，用户数据面临泄露风险

　　近日，网络安全领域的Oasis Research Team发布了一项重要发现，指出微软OneDrive的文件选择器（File Picker）功能存在重大安全隐患。这一披露引起了广泛关注。

　　据Oasis团队详细阐述，问题的核心在于文件选择器在请求用户权限时显得过于宽泛，缺乏必要的OAuth权限范围精细化控制。具体来说，即便是用户仅意图上传单个文件，文件选择器也会要求对整个云存储驱动器的读取权限。这种设计方式不仅令人困惑，而且极大地增加了安全风险。

　　更糟糕的是，Oasis团队指出，用户在授权过程中的体验同样存在不足。授权提示信息模糊，未能清晰告知用户实际授权的范围，使得用户难以区分哪些应用是出于恶意目的而索取全部文件访问权限，哪些应用则是因为技术限制而不得不请求过多权限。这种模糊性进一步加剧了安全风险。

　　Oasis团队还警告称，授权过程中使用的OAuth令牌常常以明文形式存储在浏览器的会话存储中，这使得攻击者能够相对容易地窃取这些令牌。更令人担忧的是，部分授权流程还会发放refresh tokens，这些tokens允许应用在当前tokens过期后无需用户再次登录即可获取新的tokens，从而能够持续访问用户数据。这种机制进一步放大了安全风险，可能导致个人及企业用户的数据长期暴露于潜在威胁之下。

　　面对这一严峻问题，微软已经收到Oasis团队的漏洞报告并确认了问题的存在。然而，截至目前，微软尚未推出具体的修复措施。这引发了用户对OneDrive安全性的担忧，并促使行业内外对网络安全问题展开了更为深入的讨论。