OneDrive for Business conserva i dati OCR in formato non protetto

Il riconoscimento ottico dei caratteri (OCR) è una tecnologia che permette di estrarre informazioni utili da immagini e documenti acquisiti tramite scanner o scattando una foto, da smartphone, a un supporto cartaceo. I vantaggi sono evidenti: utilizzando l’OCR, è possibile rendere ricercabili testi e altri dati che diversamente non potrebbero essere individuati, se non esaminando manualmente il contenuto grafico di ciascun file. Nel caso di OneDrive for Business, l’applicazione Microsoft archivia i dati derivati dall’OCR in un file SQLite locale per garantire l’accesso offline.

L’esperto di sicurezza Brian Maloney si è accorto che OneDrive for Business non protegge adeguatamente i dati provenienti dalle immagini conservate sul cloud e salvati in locale. È infatti assente qualunque forma di crittografia e il contenuto del file Microsoft.ListSync.db risulta facilmente accessibile, dal sistema operativo così come da qualunque altro processo in esecuzione.

OneDrive for Business salva i dati OCR in chiaro: vi ricorda qualcosa?

Ricordate le critiche piovute su Microsoft al momento della presentazione di Recall (Richiamo, in italiano), una nuova funzionalità di Windows 11 che salva in locale tutto quanto visualizzato sulla schermo del PC durante le varie sessioni di lavoro? Anche in quel caso il file SQLite locale non risultava in alcun modo protetto e gli screenshot via via acquisiti apparivano memorizzati in chiaro. Microsoft si è affrettata a ritirare la prima versione di Recall promettendo il rilascio di una versione più sicura.

Nel caso di OneDrive for Business il problema sembra molto simile. Non si ha a che fare con gli screenshot acquisiti da Windows 11 durante la normale attività lavorativa bensì con uno strumento che mira a semplificare l’estrazione di informazioni utili dai file memorizzati sul cloud.

È vero che i PC aziendali sui quali è in uso OneDrive for Business, con buona probabilità utilizzano la cifratura dei dati, ad esempio BitLocker. È altrettanto vero che se un malware dovesse andare in esecuzione sul sistema potrebbe recuperare non solo il contenuto del file Microsoft.ListSync.db ma anche le credenziali di accesso dal password manager del browser e molto altro ancora. Immaginiamo che i tecnici Microsoft ritengano che le misure di sicurezza più efficaci siano quelle che operano a più basso livello e che proteggere un singolo database locale lasci il tempo che trova. Come dimostrato anche con il “caso Recall”, è tuttavia preferibile proteggere i dati a qualunque livello.

Dove trovare il database di OneDrive for Business

Gli utenti di OneDrive for Business possono trovare il file SQLite con la raccolta delle informazioni estratte tramite OCR nel percorso seguente:

%localappdata%\Microsoft\OneDrive\ListSync\Business1\settings\Microsoft.ListSync.db

Il file contiene i metadati dei file necessari al funzionamento della modalità offline di OneDrive for Business. La modalità offline consente di continuare a utilizzare la versione Web di OneDrive anche senza una connessione a Internet.

In assenza della cifratura BitLocker con PIN e di protezioni adeguate, un malintenzionato con accesso fisico al dispositivo dell’utente potrebbe estrarre molto facilmente i dati contenuti nel database Microsoft.ListSync.db, utilizzando un’unità esterna per il boot del sistema o collegando il supporto di memorizzazione su un altro PC.