OneDrive: Sicherheitslücke gibt Apps Zugriff auf gesamte Nutzer-Dateien
Millionen Nutzer könnten unbewusst Zugriff auf ihre OneDrive-Dateien gewährt haben. Eine Sicherheitslücke im OneDrive File Picker erlaubt Apps wie ChatGPT oder Slack vollen Lesezugriff auf sämtliche Inhalte. Microsoft ist jedoch nicht sonderlich besorgt.
Schuld daran ist eine von Sicherheitsforschern entdeckte problematische Implementierung im Microsoft OneDrive File Picker, die es fremden Diensten ermöglicht, auf alle Inhalte der Cloud-Speicherung zuzugreifen - nicht nur auf die für den Upload ausgewählten Dateien.
Wie das Sicherheitsunternehmen Oasis Security berichtet, fordert der OneDrive File Picker Lesezugriff auf das gesamte Laufwerk an - selbst wenn nur eine einzige Datei hochgeladen werden soll. Dieser Umstand resultiert aus dem Fehlen feingranularer OAuth-Berechtigungen für OneDrive. Der Zustimmungsdialog, den Nutzer vor einem Datei-Upload sehen, ist von Microsoft zudem sehr vage formuliert und kommuniziert nicht ausreichend, welche Zugriffsebene tatsächlich gewährt wird.
Hinzu kommt, dass die von Microsoft erstellten Autorisierungs-Token oft unsicher gespeichert werden, nämlich im Klartext im Browser-Speicher. Auch können Refresh-Tokens ausgestellt werden, die Anwendungen dauerhaften Zugriff auf Nutzerdaten gewähren, ohne dass der Nutzer sich erneut anmelden muss.
Privatnutzer können ihre Zugriffsberechtigungen überprüfen, indem sie sich mit ihrem Microsoft-Konto bei OneDrive anmelden, unter "Datenschutz" den "App-Zugriff" auswählen und die Liste der Apps mit Zugriffsrechten durchgehen. Dort lässt sich der Zugriff bei Bedarf auch widerrufen.
Die einzelnen Berechtigungen unterscheiden sich je nach App
Was haltet ihr von dieser Sicherheitslücke? Habt ihr bereits Dateien über OneDrive in Dienste wie ChatGPT oder Slack hochgeladen? Teilt eure Erfahrungen und Bedenken in den Kommentaren!
Siehe auch:
Gefährliche Zugriffsrechte bei OneDrive-Uploads
Microsoft tüftelt unentwegt an seinem Cloud-Speicherdienst OneDrive. Zuletzt versprach man Nutzern einen KI-Boost und mehr Speicher. Auch einen Passwortschutz für PDFs soll es bald geben. Zuletzt stand zudem die Vernetzung mit anderen Programmen besonders im Vordergrund. So lassen sich seit etwa einem Jahr Dateien aus anderen Cloud-Diensten direkt importieren. Bei der Vernetzung mit anderen Anwendungen ist jetzt allerdings ein gravierendes Sicherheitsproblem ans Licht gekommen. Denn wer Dateien aus seinem OneDrive in Dienste wie Slack oder Trello hochlädt, gewährt diesen Apps wohl oft unbeabsichtigt Zugriff auf seinen gesamten Cloud-Speicher.Schuld daran ist eine von Sicherheitsforschern entdeckte problematische Implementierung im Microsoft OneDrive File Picker, die es fremden Diensten ermöglicht, auf alle Inhalte der Cloud-Speicherung zuzugreifen - nicht nur auf die für den Upload ausgewählten Dateien.
Zu weit gefasste Berechtigungen
Das Problem liegt in zu umfangreichen OAuth-Berechtigungen und irreführenden Zustimmungsbildschirmen, die Nutzern nicht klar vermitteln, welche Zugriffsrechte sie tatsächlich erteilen. Betroffen sind zahlreiche populäre Webanwendungen wie ChatGPT, Zoom und ClickUp, die ihre Dienste in OneDrive eingebunden haben.Wie das Sicherheitsunternehmen Oasis Security berichtet, fordert der OneDrive File Picker Lesezugriff auf das gesamte Laufwerk an - selbst wenn nur eine einzige Datei hochgeladen werden soll. Dieser Umstand resultiert aus dem Fehlen feingranularer OAuth-Berechtigungen für OneDrive. Der Zustimmungsdialog, den Nutzer vor einem Datei-Upload sehen, ist von Microsoft zudem sehr vage formuliert und kommuniziert nicht ausreichend, welche Zugriffsebene tatsächlich gewährt wird.
Konkurrenz macht es besser
Im Vergleich dazu bieten andere Cloud-Anbieter sicherere Lösungen. Google Drive verfügt etwa über OAuth-Berechtigungen, die Apps nur Zugriff auf selbst erstellte oder explizit freigegebene Dateien erlauben. Dropbox nutzt mit seinem Chooser SDK einen proprietären Endpunkt, der sogar ohne typischen OAuth-Fluss auskommt und dadurch das Risiko minimiert.Hinzu kommt, dass die von Microsoft erstellten Autorisierungs-Token oft unsicher gespeichert werden, nämlich im Klartext im Browser-Speicher. Auch können Refresh-Tokens ausgestellt werden, die Anwendungen dauerhaften Zugriff auf Nutzerdaten gewähren, ohne dass der Nutzer sich erneut anmelden muss.
Datenschutzrechtliche Probleme
Für Unternehmen könnte dies besonders kritisch sein. Mitarbeiter könnten unbeabsichtigt gegen Vertraulichkeitsrichtlinien verstoßen, wenn sie entsprechende Unternehmensdaten über OneDrive mit Drittanbieter-Apps teilen. Experten raten Organisationen daher, die Zustimmung eines Administrators zu verlangen oder Conditional-Access-Richtlinien für Apps zu erzwingen, die mehr als eine Leseberechtigung anfordern.Privatnutzer können ihre Zugriffsberechtigungen überprüfen, indem sie sich mit ihrem Microsoft-Konto bei OneDrive anmelden, unter "Datenschutz" den "App-Zugriff" auswählen und die Liste der Apps mit Zugriffsrechten durchgehen. Dort lässt sich der Zugriff bei Bedarf auch widerrufen.
Die einzelnen Berechtigungen unterscheiden sich je nach App
Redmond bleibt gelassen
Microsoft hat das Problem nach der Offenlegung durch Oasis Security anerkannt, bisher jedoch keine Lösung bereitgestellt. In einer Stellungnahme erklärte das Unternehmen: "Wir schätzen die Partnerschaft mit Oasis Security bei der verantwortungsvollen Offenlegung dieses Problems. Diese Technik erfüllt nicht unsere Kriterien für eine sofortige Behebung, da ein Nutzer der Anwendung zustimmen muss, bevor ein Zugriff erlaubt wird. Wir werden Verbesserungen in einer zukünftigen Version in Betracht ziehen." Ob man also tatsächlich eine Anpassung vornehmen wird, bleibt völlig offen.Was haltet ihr von dieser Sicherheitslücke? Habt ihr bereits Dateien über OneDrive in Dienste wie ChatGPT oder Slack hochgeladen? Teilt eure Erfahrungen und Bedenken in den Kommentaren!
Zusammenfassung
- Sicherheitslücke erlaubt Apps wie ChatGPT vollen Zugriff auf OneDrive-Dateien
- OAuth-Berechtigungen im OneDrive File Picker sind zu umfangreich gestaltet
- Nutzer bleiben durch vage Formulierung über tatsächliche Zugriffsrechte im Dunkeln
- Autorisierungs-Token werden unverschlüsselt im Browser-Speicher hinterlegt
- Besonders in Unternehmen könnten unbeabsichtigt Datenschutzverletzungen drohen
- Microsoft hat Problem erkannt, priorisiert aber keine schnelle Behebung
- Nutzer können App-Zugriffsberechtigungen in den Datenschutzeinstellungen prüfen
Siehe auch:
- OneDrive bekommt endlich Passwortschutz für PDFs: Das plant Microsoft
- KI-Boost für OneDrive: Microsoft gibt neue Copilot-Funktionen frei
- Microsoft wirbt nach Update in Windows vollflächig für OneDrive
- Plötzlich volle Ordner in neuem Windows 11: OneDrive ist schuldig
- OneDrive-Nutzer melden plötzliche Probleme mit Ordner-Freigaben
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Disney+ europaweit eingeschränkt: Dolby-Vision-Streit geht weiter
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen