Um investigador de cibersegurança descobriu que o seletor de ficheiros do OneDrive permite a certas aplicações obter acesso alargado a todos os documentos de um utilizador, mesmo que este selecione apenas um ficheiro. A Microsoft foi alertada, mas ainda não corrigiu o problema.
Um buraco no OneDrive
A Microsoft integrou no OneDrive o prático File Picker, que permite ao utilizador escolher um ficheiro e enviá-lo, a partir da cloud, para uma aplicação externa. Este botão, presente em vários serviços online, utiliza o protocolo OAuth, que embora destinado a controlar permissões, tem estado na origem de diversas vulnerabilidades. Na prática, os direitos concedidos vão muitas vezes muito além do que o utilizador pensa.
A falha está no facto de o seletor não limitar o acesso a um único ficheiro. Pelo contrário, solicita uma autorização global, abrangendo todo o conteúdo da conta. Mesmo que a interface não o indique, a aplicação ligada pode explorar todos os documentos. O investigador afirma que este problema afeta vários serviços populares, como Slack, Trello, ClickUp ou ChatGPT.
O seletor permite acesso total com um simples clique
A análise publicada pela Oasis Security descreve uma falha de conceção que não é imediatamente visível. Quando o utilizador abre a janela de seleção e escolhe um ficheiro, pensa estar a autorizar o envio apenas desse documento. No entanto, a permissão concedida cobre a totalidade da conta. A interface não alerta que o serviço poderá aceder a outros ficheiros sem mais interações.
Mais concretamente, a janela de autorização não oferece a opção de limitar o acesso a um ficheiro específico. A aplicação recebe permissão para leitura completa de todos os documentos no OneDrive.
O investigador sublinha que «o aviso é vago e não transmite de forma adequada o nível de acesso». Esta ambiguidade permite abusos, especialmente se a aplicação guardar um token de acesso sem o conhecimento do utilizador.
O risco estende-se a todos os serviços que se integram com o OneDrive via OAuth. Nestes casos, a autorização pode manter-se ativa durante dias ou mais. Algumas aplicações obtêm ainda um refresh token, permitindo-lhes renovar o acesso automaticamente, sem intervenção do utilizador. Não existe qualquer aviso que informe desta persistência. A janela de seleção, por sua vez, permanece inalterada.
Microsoft informada, mas ainda sem solução
O investigador comunicou as suas descobertas à Microsoft pelos canais habituais. A empresa acusou receção, mas não lançou qualquer correção nem atualizou a documentação. Até à data, o File Picker continua a aplicar as mesmas permissões, sem distinguir entre acessos pontuais e prolongados.
A Oasis recomenda evitar, por agora, o uso do seletor OneDrive em aplicações que utilizem OAuth. É preferível desativar temporariamente essa integração, caso não seja essencial.
Aconselha-se também a não guardar tokens no navegador, nem utilizar refresh tokens, até que haja um controlo mais rigoroso. Os utilizadores podem, por sua iniciativa, consultar a página de gestão de acessos da Microsoft e revogar manualmente autorizações não utilizadas.