標誌位將Microsoft 365應用變成賬户劫持管道

一項新的安全研究發現，Microsoft 365的Android應用因一個被遺忘的開發標誌位而面臨嚴重的賬户劫持風險。該漏洞允許設備上的任何應用（包括未經認證的第三方應用）靜默獲取用户Microsoft 365賬户的令牌，從而完全接管賬户。

研究人員最初通過AI分析工具發現，Microsoft 365 Android應用中的一項關鍵安全驗證被意外禁用。該驗證本應阻止未授權的應用訪問賬户令牌，但由於一個開發標誌位在發佈時未被移除，導致驗證始終無法生效。更嚴重的是，由於這一漏洞存在於共享的Microsoft SDK中，因此影響了多個Microsoft 365應用，包括Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop和OneNote。

研究團隊迅速製作了概念驗證（PoC）攻擊代碼。他們在一個Android設備上安裝了一個第三方應用，該應用能夠通過漏洞獲取同一設備上所有已安裝Microsoft 365應用的賬户令牌。利用這些令牌，攻擊者可以讀取郵件、訪問文檔、發送消息以及查看日曆，而用户對此毫不知情。

微軟已確認該問題併發布了補丁。為了確保安全，所有使用Microsoft 365 Android應用的用户應立即通過Google Play商店更新應用到最新版本。對於企業用户，IT管理員應檢查並確保所有受影響的應用程序均已更新。

這一事件再次提醒我們，開發階段使用的調試標誌位必須在發佈前徹底清理。一個小小的疏忽可能導致嚴重的安全後果。攻擊面可能不僅限於個人用户，企業環境中如果設備託管了多個Microsoft 365應用，同樣面臨風險。研究人員已在博客文章中詳細披露了技術細節，包括PoC代碼截圖，供安全社區參考。微軟在回應中感謝了研究團隊的負責任披露。隨着移動辦公的普及，此類令牌劫持漏洞的潛在破壞力不容小覷。