標誌位將Microsoft 365應用變成賬戶劫持管道

一項新的安全研究發現，Microsoft 365的Android應用因一個被遺忘的開發標誌位而面臨嚴重的賬戶劫持風險。該漏洞允許裝置上的任何應用（包括未經認證的第三方應用）靜默獲取使用者Microsoft 365賬戶的令牌，從而完全接管賬戶。

研究人員最初透過AI分析工具發現，Microsoft 365 Android應用中的一項關鍵安全驗證被意外停用。該驗證本應阻止未授權的應用訪問賬戶令牌，但由於一個開發標誌位在釋出時未被移除，導致驗證始終無法生效。更嚴重的是，由於這一漏洞存在於共享的Microsoft SDK中，因此影響了多個Microsoft 365應用，包括Word、PowerPoint、Excel、Microsoft 365 Copilot、Microsoft Loop和OneNote。

研究團隊迅速製作了概念驗證（PoC）攻擊程式碼。他們在一個Android裝置上安裝了一個第三方應用，該應用能夠透過漏洞獲取同一裝置上所有已安裝Microsoft 365應用的賬戶令牌。利用這些令牌，攻擊者可以讀取郵件、訪問文件、傳送訊息以及檢視日曆，而使用者對此毫不知情。

微軟已確認該問題併發布了補丁。為了確保安全，所有使用Microsoft 365 Android應用的使用者應立即透過Google Play商店更新應用到最新版本。對於企業使用者，IT管理員應檢查並確保所有受影響的應用程式均已更新。

這一事件再次提醒我們，開發階段使用的除錯標誌位必須在釋出前徹底清理。一個小小的疏忽可能導致嚴重的安全後果。攻擊面可能不僅限於個人使用者，企業環境中如果裝置託管了多個Microsoft 365應用，同樣面臨風險。研究人員已在部落格文章中詳細披露了技術細節，包括PoC程式碼截圖，供安全社群參考。微軟在回應中感謝了研究團隊的負責任披露。隨著移動辦公的普及，此類令牌劫持漏洞的潛在破壞力不容小覷。