微软 365 安卓版被曝低级漏洞：因误开 Debug 模式，任意第三方 App 均可静默窃取账户登录凭证

亚汇网6月5日消息，FlagLeft安全研究团队于当地时间6月2日发文，披露了Microsoft365安全研究人员表示，微软旗下的多款这一低级失误直接导致其安全校验机制失效，使得安装在同一设备上的任何第三方应用，都能在用户完全不知情的情况下静默窃取Microsoft365账户的登录凭证（Token），进而以已登录用户的身份读取邮件、访问文件、查看日历乃至发送消息受该漏洞影响的重点应用包括Word、PowerPoint、Excel、Microsoft365Copilot、MicrosoftLoop以及OneNote。目前微软已紧急修复了相关问题，并针对不同应用发布了相应的安全补丁，建议所有受影响的用户立即通过应用商店更新至最新版本。安全研究人员指出，Teams应用因未启用该调试标志而不受影响。但这些应用在谷歌Play商店的累计下载量达数十亿次。漏洞的技术原理并不复杂。微软为了在正常情况下提升用户体验，在Microsoft365应用之间设计了一种凭证共享机制（即单点登录）。例如，当用户登录了Word之后，再打开其他微软应用无需重复验证即可使用同一账户。正常的令牌交接过程中，应用需要校验请求来源是否为受信任的微软应用。然而，由于开发人员的疏忽。安卓版Microsoft365在正式版本中保留了setIsDebugMode(true)。这一本属于开发阶段的调试标记在进入正式生产环境后，直接跳过了针对调用方身份的合法性校验，导致任何未经验证的第三方本地应用只需发送特定请求，即可直接拦截并获取账户登录凭证，全程无需用户密码，也不会弹出登录页面，甚至无需请求任何可能引起用户警觉的权限。研究人员进一步指出，被泄露的凭证属于危险系数极高的FOCI（FamilyofClientIDs）特殊凭证。此类凭证不仅可以长期重复使用和静默刷新，且在其被恶意利用时，其产生的网络流量与系统日志表现得与用户正常使用完全一致，故极其隐蔽。攻击者通过本地恶意App劫持该凭证后，无需获取用户的账号密码，也无需申请任何敏感的安卓系统权限，便能直接以受害者账户的身份为所欲为，包括读取、修改和发送电子邮件、翻阅云端文档、查看日程表等。随后，研究人员利用AI进行了分析，确认该安全漏洞因共享SDK的缘故大范围蔓延至M365全系六款主力安卓应用中。“原本以为只是一个应用的问题，后来发现是M365安卓应用的共同模式，一个简单的Bug影响了总计数十亿次下载的应用。”针对这一重大供应链与发布失误，研究团队已提前向微软安全响应中心（MSRC）进行了负责任的漏洞披露。微软方面随后确认了上述漏洞并发布了安全指南，针对不同应用所面临的风险分别赋予了不同的CVE编号与危险评级。其中，Microsoft365Copilot安卓版对应的漏洞编号为CVE-2026-41100（CVSS评分4.4，中危）；Word安卓版对应CVE-2026-41101（CVSS评分7.1，高危）；PowerPoint对应CVE-2026-41102（CVSS评分7.1，高危）；而微软Office核心组件整体的漏洞则同样归于CVE-2026-41102（CVSS评分达7.7，重要级别）。微软表示，相关漏洞的修复程序均已包含在5月中旬及后续的更新日志中，企业IT管理员应立即核查组织内部托管的安卓设备，确保所有相关办公软件处于最新安全版本状态。广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，亚汇网所有文章均包含本声明。