Microsoft 365 Android Apps Let Any App Steal Account Tokens via Leftover Debug Flag
Fonte: The Hacker News | Jurisdição: Internacional | Tipo: Incidente
A development flag left switched on in production builds of several Microsoft 365 Android apps disabled the check that limits account-token sharing to trusted Microsoft apps. Any other app on the same phone could ask for the signed-in user’s token and get it, then read email, open files, browse the calendar, and send messages as that user. No password, no login screen, no permission prompt.
Vulnerabilidade crítica identificada em múltiplos aplicativos Microsoft 365 para Android. Uma flag de desenvolvimento deixada ativa em builds de produção desabilitou o mecanismo de validação que restringe o compartilhamento de tokens de conta apenas para aplicativos Microsoft confiáveis. A falha permite que qualquer aplicativo instalado no mesmo dispositivo solicite e obtenha o token de autenticação do usuário logado, sem necessidade de senha, tela de login ou prompt de permissão. Com acesso ao token, aplicativos maliciosos podem executar ações em nome do usuário, incluindo leitura de emails, acesso a arquivos, navegação em calendários e envio de mensagens. O incidente afeta a integridade da cadeia de confiança de autenticação e representa risco significativo de comprometimento de contas e dados sensíveis. A vulnerabilidade demonstra falha crítica em controles de segurança de desenvolvimento e implantação, com potencial de impacto em larga escala considerando a base de usuários de Microsoft 365 em plataforma Android.
Fonte original: The Hacker News