Oasis Security 发现了微软 OneDrive 中的一个潜在隐私风险,该风险使应用程序和网站能够完全访问 OneDrive 用户的所有文件。这家网络安全公司在博客中写道,此隐私风险出现在 OneDrive 的 “文件资源管理器” 组件中。该组件目前已更新至第 8 版,可在外部应用或网站中实现。由于其对 OAuth 标准的实现不够细致,应用程序和网站默认获得对所有文件的访问权限,而不是仅获得对用户所选择文件的访问权限。研究人员还声称,微软并未就此向用户做出明确说明。
Oasis Security 表示,该潜在隐私风险会给个人和企业带来更高的安全风险。因此,建议检查所有有权限访问用户 OneDrive 的应用程序或网站,并在必要时撤销其读取权限。希望对已连接的应用程序和网站进行审核的用户,可打开独立微软账户的 “隐私面板” 以检查各应用的权限,并酌情修改。微软已就此问题得到通知,并正考虑改进措施。尚不清楚何时实现相关改进。
