标志位将Microsoft 365应用变成账户劫持管道

一项新的安全研究发现，Microsoft 365的Android应用因一个被遗忘的开发标志位而面临严重的账户劫持风险。该漏洞允许设备上的任何应用（包括未经认证的第三方应用）静默获取用户Microsoft 365账户的令牌，从而完全接管账户。

研究人员最初通过AI分析工具发现，Microsoft 365 Android应用中的一项关键安全验证被意外禁用。该验证本应阻止未授权的应用访问账户令牌，但由于一个开发标志位在发布时未被移除，导致验证始终无法生效。更严重的是，由于这一漏洞存在于共享的Microsoft SDK中，因此影响了多个Microsoft 365应用，包括Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop和OneNote。

研究团队迅速制作了概念验证（PoC）攻击代码。他们在一个Android设备上安装了一个第三方应用，该应用能够通过漏洞获取同一设备上所有已安装Microsoft 365应用的账户令牌。利用这些令牌，攻击者可以读取邮件、访问文档、发送消息以及查看日历，而用户对此毫不知情。

微软已确认该问题并发布了补丁。为了确保安全，所有使用Microsoft 365 Android应用的用户应立即通过Google Play商店更新应用到最新版本。对于企业用户，IT管理员应检查并确保所有受影响的应用程序均已更新。

这一事件再次提醒我们，开发阶段使用的调试标志位必须在发布前彻底清理。一个小小的疏忽可能导致严重的安全后果。攻击面可能不仅限于个人用户，企业环境中如果设备托管了多个Microsoft 365应用，同样面临风险。研究人员已在博客文章中详细披露了技术细节，包括PoC代码截图，供安全社区参考。微软在回应中感谢了研究团队的负责任披露。随着移动办公的普及，此类令牌劫持漏洞的潜在破坏力不容小觑。