ثغرات أمنية

ثغرة في OneDrive تمنح تطبيقات الطرف الثالث صلاحيات موسّعة للوصول إلى بيانات المستخدمين

تحقيق أمني يكشف عن مخاطـر في آلية تفويض الوصول عبر OAuth في مايكروسوفت OneDrive

تم النشر في مايو. 30, 2025

ثغرة في OneDrive تمنح تطبيقات الطرف الثالث صلاحيات موسّعة للوصول إلى بيانات المستخدمين — الصورة بواسطة Focal Foto على موقع فليكر، مرخصة بموجب Creative Commons.

كشف تقرير حديث صادر عن شركة “Oasis Security” عن ثغرة أمنية في أداة Microsoft OneDrive File Picker، قد تتيح لتطبيقات الطرف الثالث الوصول إلى كامل محتوى حساب المستخدم في OneDrive، وليس فقط الملفات التي يختارها المستخدم لتحميلها أو تنزيلها.

وأوضح فيجاي دلوالي، مستشار الأمن الرئيسي لدى “Black Duck”، أن المشكلة تتمثل في “سياسات OAuth المفرطة في منح الصلاحيات إلى جانب واجهة موافقة مضللة”.

صلاحيات مفرطة في التصميم

أشار التقرير إلى أن مئات التطبيقات الشائعة مثل ChatGPT وSlack وTrello وClickUp تستخدم OneDrive File Picker لتسهيل رفع الملفات، إلا أنها تطلب صلاحيات قراءة أو كتابة موسّعة تشمل كامل مساحة التخزين السحابي للمستخدم.

وقال إريك شفايك، مدير إستراتيجية الأمن السيبراني في “Salt Security”: “الأمر لا يقتصر على نظرية فقط، بل إنه يُمكّن هذه التطبيقات من قراءة كامل ملفات OneDrive بسبب ضعف في تحديد صلاحيات OAuth”.

وأظهرت نتائج التقرير أن النسخة 7.0 من File Picker تتطلب صلاحيات للقراءة والكتابة حتى في عمليات الرفع، بينما تعاني النسخ من 6.0 إلى 7.2 من آليات غير آمنة للتعامل مع رموز OAuth، بما في ذلك استخدام وسوم URL وlocalStorage.

وفي النسخة 8.0، وإن أُتيحت للمطورين إمكانية التحكم في المصادقة، إلا أن صلاحيات الوصول لا تزال واسعة النطاق.

وقال جيسون سوروكو، كبير الباحثين في “Sectigo”: “نافذة الموافقة لا توضح أن نقرة واحدة تعني منح التطبيق حق الوصول الكامل لكل الملفات والمجلدات”.

تهديدات فعلية للمستخدمين والمؤسسات

تؤدي هذه الثغرة إلى مخاطر فعلية. فعلى سبيل المثال، قد يقوم مستخدم برفع سيرته الذاتية إلى منصة توظيف مثل Phenome، دون أن يدرك أن التطبيق حصل على صلاحية الوصول إلى ملفات المؤسسة كلها عبر OneDrive.

وأضاف سوروكو: “ينبغي على المستخدمين أن يفترضوا أن كل تطبيق SaaS يوافقون عليه لديه مفاتيح الوصول إلى أهم ملفاتهم ما لم يُثبت العكس”.

كما أوصت “Oasis Security” بالخطوات التالية:

حظر التطبيقات التي تطلب صلاحيات أوسع من “files.read”
مراجعة التطبيقات التي حصلت على صلاحيات دخول إلى OneDrive
عدم استخدام رموز تحديث (refresh tokens) متى أمكن
ضبط السياسات التنظيمية لتقييد التفويض من دون موافقة المسؤول

مقارنة مع نماذج أكثر تقييدًا

أظهرت المقارنة مع منافسي Microsoft أن Google Drive يستخدم صلاحيات دقيقة مثل “drive.file” للوصول إلى الملفات التي أنشأها التطبيق فقط، في حين تعتمد Dropbox على أداة اختيار مخصصة تتجنب OAuth بالكامل.

وأكد التقرير أن Microsoft لم تعلن بعد عن أية تغييرات رسمية، في حين أوصت “Oasis Security” المطورين بتقليل نطاق الصلاحيات ومراجعة تكاملاتهم الحالية.