Problemi in vista per OneDrive, il servizio di cloud storage che Microsoft offre ai propri utenti. Secondo una indagine portata avanti dai ricercatori di Oasis Security la funzione File Picker fornirebbe incautamente un accesso molto generoso a siti, app e servizi di terze parti.
LA PRESUNTA VULNERABILITA’ DI ONEDRIVE
Secondo gli analisti che hanno mosso tale critica a Microsoft il File Picker, strumento volto a semplificare il caricamento di documenti da OneDrive a piattaforme esterne, non limita l’accesso al singolo file selezionato spalancando all’applicazione esterna con la quale entra in contatto la possibilità di leggere l’intero contenuto dell’account dell’utente. Si tratta, è bene specificarlo, di un accesso “read-only” ovvero di sola lettura dei contenuti, ma potenzialmente illimitato, che per Oasis Security costituirebbe una potenziale backdoor nel sistema di sicurezza per individui e aziende.
LE PORTE SOCCHIUSE PER NON CURANZA O POCA DIMESTICHEZZA
Anche perché secondo i ricercatori il protocollo di autorizzazione protocollo di autorizzazione OAuth utilizzato da Microsoft lascerebbe ampio margine di manovra a eventuali hacker dal momento che, complici la disattenzione o la poca dimestichezza degli utenti, i token cui ci si affida per l’accesso vengono spesso archiviati in chiaro nella sessione del browser e, in alcuni casi, possono essere rinnovati automaticamente con un token di aggiornamento, prolungando l’accesso ben oltre quello previsto.
Tutte tracce lasciate in giro e porte socchiuse che, inutile dirlo, fanno felicissimi gli internauti che s’aggirano per il Web alla ricerca di dati coi quali imbastire le proprie truffe, a iniziare dal phishing. Le conseguenze di questi comportamenti fin troppo leggeri unite al modo assai curioso in cui è stato costruito File Picker potrebbe comportare la fuga di dati, una lesione del diritto alla privacy e, a cascata, una violazione delle normative di riferimento.
COSA DEVONO FARE GLI UTENTI
Secondo quanto scrivono sul sito Techspot Redmond sarebbe stata avvertita della vulnerabilità da tempo e starebbe studiando le contromisure per chiudere quell’accesso tanto grossolano oggi garantito dal File Picker, stando comunque attenta a non comprometterne le caratteristiche che lo rendono funzionale e versatile. Nel frattempo viene consigliato agli utenti (che possono essere singoli privati come pure intere aziende) di rivedere immediatamente tutte le autorizzazioni concesse alle terze parti, seguendo le linee guida pubblicate da Oasis.
