Siber Güvenlik Araştırmacılarının Oasis Security’deki yakın tarihli bir soruşturması, Microsoft’un OneDrive Dosya Seçicisinin izinleri nasıl işlediği ve Chatgpt, Slack, Trello ve Clickup dahil olmak üzere yüzlerce popüler web uygulamasının kapıyı nasıl açtığı konusunda bir veri aşırı bilgi ortaya çıkardı.
Rapora göre, sorun onedrive dosya seçicisinin OAuth izinlerini nasıl talep ettiğinden geliyor. Sistem, yalnızca bir kullanıcının yükleme veya indirme için seçtiği dosyalara erişimi sınırlamak yerine, bağlı uygulamaları kullanıcının tüm onedrive arasında geniş okuma veya yazma izinleri verir. Bu, tek bir dosya yüklemek için tıkladığınızda, uygulamanın bulut depolama alanınızdaki her şeyi görebileceği veya değiştirebileceği ve bu erişimi uzun süre koruyabileceği anlamına gelir.
Gizli bir erişim sorunu
OAuth, uygulamaların başka bir platformdaki kullanıcı verilerine erişim istemesini sağlayan yaygın olarak kullanılan endüstri standardıdır. Ancak Oasis’in Hackread.com ile Çarşamba günü yayınlanmasından önce paylaşılan blog yayınlarında açıkladığı gibi, OneDrive dosya seçici, bağlı uygulamaların görebileceğini veya yapabileceğini daha iyi kısıtlayabilecek “ince taneli” OAuth kapsamlarından yoksundur.
Microsoft’un geçerli kurulumu, kullanıcıya yalnızca seçilen dosyalara erişileceğini gösteren bir onay ekranı sunar, ancak gerçekte uygulama tüm sürücü üzerinde kapsamlı izinler kazanır.
Bu, Google Drive ve Dropbox gibi hizmetlerin benzer entegrasyonları nasıl ele aldığına kıyasla oldukça farklı çalışır. Her ikisi de, uygulamaların tüm depolama hesabına anahtarları teslim etmeden yalnızca belirli dosyalar veya klasörlerle etkileşime girmesine izin veren daha hassas izin modelleri sunar.
Endişeye ek olarak, OneDrive Dosya Seçicisinin (sürümleri 6.0 ila 7.2) eski sürümleri, tarayıcı gibi güvensiz yerlerde hassas erişim belirteçlerini açığa çıkaran modası geçmiş kimlik doğrulama akışlarını kullandı localStorage veya URL parçaları. En son sürüm (8.0) bile, daha modern olsa da, bu jetonları hala tarayıcı oturum depolamasında düz metinde saklar ve bir saldırgan yerel erişim kazanırsa onları savunmasız bırakır.
Milyonlarca kullanıcı risk altında
Oasis Security, yüzlerce uygulamanın dosya yüklemelerini kolaylaştırmak için OneDrive dosya seçicisini kullandığını ve milyonlarca kullanıcıyı riske attığını tahmin ediyor. Örneğin, chatgpt kullanıcıları doğrudan OneDrive’dan dosya yükleyebilir ve her ay 400 milyondan fazla kullanıcı bildirildiğinde, olası ölçeği over-permissioning muazzam.
Oasis, bulgularını yayınlamadan önce hem Microsoft hem de birkaç uygulama satıcısıyla temasa geçti. Microsoft raporu kabul etti ve gelecekte iyileştirmeleri keşfedebileceğini belirtti, ancak şu andan itibaren sistem tasarlandığı gibi çalışıyor.
API Güvenlik Mücadelesi hakkında uzman bir görünüm
Salt Security’de Siber Güvenlik Stratejisi Direktörü Eric Schwake, “Oasis Security’nin araştırması, Microsoft OneDrive’ın Chatgpt, Slack ve Trello gibi popüler uygulamalarla nasıl bağlandığına dair büyük bir gizlilik riskine işaret ediyor. Çünkü onedrive dosya seçicisindeki OAuth Scopes çok geniş, uygulamalar çok geniş bir sürücüye erişim, sadece seçilen dosyalara erişim sağlayamıyor”.
“Erişim belirteçlerinin güvensiz depolanmasıyla birleştiğinde, bu ciddi bir API güvenlik zorluğu yaratıyor. Hassas verileri ele almak için daha fazla araç API’lere dayandıkça, katı yönetişim uygulamak, izinleri sınırlamak ve kullanıcı bilgilerini açığa çıkarmaktan kaçınmak için sabit jetonlar.”
Kullanıcılar ve şirketler ne yapmalı
Kullanıcılar için hangi üçüncü taraf uygulamalarının Microsoft hesabınıza erişebileceğini kontrol etmeye değer. Bu, APP izinlerini görüntüleyebileceğiniz ve artık güvenmediğiniz herhangi bir şeyi iptal edebileceğiniz hesabın gizlilik ayarları aracılığıyla yapılabilir.
Hangi üçüncü taraf uygulamalarının Microsoft Hesabınıza Erişimi Olduğunu Nasıl Kontrol Edilir
- Microsoft Hesap Sayfanıza Git – Hesap.microsoft.com adresini ziyaret edin ve henüz değilseniz oturum açın.
- “Gizlilik” e tıklayın – Üst veya sol menüde, bulun ve tıklayın Mahremiyet bölüm.
- “Uygulamalar ve Hizmetler” – Uygulamalar için aşağı kaydırın veya hesap ayarlarının altına bakın ve hizmetler Erişim verdiniz.
- Uygulama ayrıntılarını görüntüleyin – Microsoft hesabınıza erişme izni olan uygulamaların bir listesini göreceksiniz. Hangi verilere veya kapsamlara erişebileceklerini görmek için her uygulamadaki ayrıntıları tıklayın.
- Gerekirse erişimi iptal edin – Artık bir uygulamaya güvenmiyorsanız veya kullanmıyorsanız, erişimini iptal etmek için bu izinleri kaldırın veya paylaşımı durdurun.
Şirketler için OASIS, hangi uygulamaların amaçlanandan daha geniş bir erişime sahip olabileceğini görmek için Entra Yönetici Merkezi’ndeki kurumsal uygulamaların gözden geçirilmesini ve izleme hizmeti ana izinlerini önermektedir. Azure CLI gibi araçlar kullanmak, bu incelemenin kısımlarını otomatikleştirmeye yardımcı olabilir.
Geliştiriciler için, en iyi acil adımlar arasında uzun ömürlü yenileme jetonlarının kullanımından kaçınmak, erişim belirteçlerinin güvenli bir şekilde depolanması ve artık ihtiyaç duyulmadıklarında bunların atılması yer alır. Microsoft, OneDrive entegrasyonları için daha hassas OAuth kapsamları sunana kadar, geliştiriciler doğrudan seçici entegrasyonlar yerine “yalnızca görünüm” paylaşılan dosya bağlantılarını desteklemek gibi daha güvenli geçici çözümleri keşfetmeye teşvik edilir.