Auf den Punkt: Eine aktive Debug-Flag in Microsoft 365 Android-Apps erlaubte beliebigen Apps auf dem Gerät, Authentifizierungs-Tokens zu stehlen und Nutzerkonten komplett zu übernehmen.
In mehreren Microsoft 365 Android-Apps war eine Entwickler-Flag aktiviert, die eine Sicherheitsprüfung deaktivierte und beliebigen Apps Zugriff auf Account-Tokens verschaffte. Angreifer konnten sich so ohne Passwort oder Zustimmung als Nutzer ausgeben.
In Produktions-Builds mehrerer Microsoft 365 Android-Apps war ein Entwickler-Flag aktiviert, das die Kontrolle zur Begrenzung der Token-Freigabe auf vertrauenswürdige Microsoft-Apps deaktivierte. Diese Sicherheitsprüfung hätte verhindern sollen, dass Apps außer von Microsoft Authentifizierungs-Tokens anfordern.
Durch diese Schwachstelle konnte jede andere App auf demselben Gerät das Token des angemeldeten Nutzers anfordern und erhielt es ohne Eingabeaufforderung. Mit dem Token konnten Angreifer auf E-Mails zugreifen, Dateien öffnen, Kalender einsehen und Nachrichten versenden – alles im Namen des betroffenen Nutzers, ohne dass dieser ein Passwort eingeben, sich anmelden oder irgendeine Berechtigung erteilen musste.
Für CISOs bedeutet dies ein erhebliches Risiko auf Geräten mit Microsoft 365 Mobile Apps. Sollte eine bösartige oder kompromittierte Anwendung auf einem Android-Gerät installiert sein, kann sie vollständigen Zugriff auf Microsoft 365-Konten erlangen. Dies betrifft Vertraulichkeit, Integrität und Verfügbarkeit geschäftskritischer Daten sowie externe Attacken über kompromittierte Nutzerkonten.
Quelle: thehackernews.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.