Am Puls von Microsoft

Viele Web-Dienste können den gesamten Inhalt von OneDrive lesen – oft ohne Wissen der Nutzer

Viele Web-Dienste können den gesamten Inhalt von OneDrive lesen - oft ohne Wissen der Nutzer

Viele Nutzer von Microsofts Cloudspeicherdienst OneDrive könnten Web-Diensten Lesezugriff auf alle in ihrem OneDrive gespeicherten Dateien erteilt haben. Den Wenigsten dürfte dieser Umstand überhaupt bekannt sein.

Die Sicherheitsexperten von Oasis haben eine Schwachstelle im OneDrive File Picker ausgemacht. Das ist jene Funktion, die man benötigt, um eine Datei in OneDrive hochzuladen oder aus OneDrive in einem anderen Dienst zu verwenden. Zahlreiche Online-Dienste wie etwa Slack, Trello oder ChatGPT nutzen diese Funktion, um an OneDrive anzudocken.

Für den Zugriff ist zwar die explizite Zustimmung des Nutzers notwendig, allerdings dürften laut Oasis die meisten Nutzer davon ausgehen, den Zugriff nur für diese eine Datei zu gewähren. Der Bestätigungsdialog, den Microsoft im Moment des Zugriffs anzeigt, sei darüber hinaus missverständlich aufgebaut. Daher sei es vielen Nutzern nicht bewusst, dass die Web-App, der eine entsprechende Berechtigung erteilt wurde, fortan Zugriff auf den gesamten Inhalt des entsprechenden OneDrive-Kontos hat.

Betroffen sind laut Oasis sowohl private Microsoft-Konten als auch die geschäftlichen Entra IDs. Neben der grundsätzlichen Gefahr, dass auf diese Weise Daten abfließen und in die falschen Hände geraten, könnten geschäftliche Nutzer unbewusst die Vertraulichkeits-Richtlinien ihres Unternehmens verletzen.

Erschwerend kommt hinzu, dass der OneDrive File Picker den Token für den Zugriff auf die OneDrive-Inhalte als Klartext in der Browser-Session abspeichert. Auf diese Weise könnten Angreifer zumindest vorübergehend die vollständigen Inhalte eines OneDrive-Speichers einsehen.

Oasis hat den Sachverhalt nach eigener Aussage mit Microsoft erörtert. Akuten Handlungsbedarf sieht man in Redmond anscheinend nicht, man will die Erkenntnisse allerdings für „zukünftige Verbesserungen“ nutzen.

Für Microsoft 365 Admins hat Oasis in seinem Artikel Informationen zusammengestellt, wie sich betroffene Apps identifizieren lassen.

Wer in seinem privaten Microsoft-Konto nachschauen möchte, welchen Apps er Zugriff auf seine Daten gewährt hat, kann das unter account.microsoft.com tun. Im Abschnitt Datenschutz / App-Zugriff findet sich eine Liste aller Apps, denen man Zugriff auf sein Microsoft-Konto gewährt hat. Nebenbei gesagt empfiehlt es sich, hier regelmäßig auszumisten.

Es ist leider nicht möglich, gezielt nach erteilten Berechtigungen zu filtern. Man muss also jedes Mal auf „Details“ klicken, um alle Informationen zu sehen. Durch einen Klick auf „Teilen beenden“ werden der App die Berechtigungen entzogen.

Viele Web Apps haben vollen Lesezugriff auf OneDrive

Artikel im Forum diskutieren (0)

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige
Anzeige