В нескольких приложениях Microsoft 365 для Android была обнаружена уязвимость, связанная с оставленным включенным флагом отладки в производственных сборках. Этот флаг отключал проверку, которая ограничивает обмен токенами учетных записей только доверенными приложениями Microsoft. В результате любое стороннее приложение на том же устройстве могло запросить токен вошедшего пользователя и получить доступ к его данным.

Проблема заключается в том, что сторонние приложения могли беспрепятственно запрашивать токены, что позволяло им читать электронную почту, открывать файлы, просматривать календарь и отправлять сообщения от имени пользователя. При этом не требовалось вводить пароль, проходить экран авторизации или получать разрешение от пользователя.

Данная уязвимость ставит под угрозу безопасность пользователей, так как позволяет злоумышленникам потенциально получить доступ к личной информации и корпоративным данным. Это может привести к утечкам конфиденциальной информации и другим серьезным последствиям для безопасности.

Microsoft была уведомлена об этой проблеме и, как ожидается, предпримет меры для устранения уязвимости в ближайших обновлениях. Пользователям настоятельно рекомендуется следить за обновлениями своих приложений и устанавливать их как можно скорее.

Это не первый случай, когда приложения Microsoft сталкиваются с проблемами безопасности, и он подчеркивает важность тщательной проверки кода и настройки приложений перед их выпуском в продакшен. Пользователи должны оставаться бдительными и использовать дополнительные меры безопасности, такие как двухфакторная аутентификация, чтобы защитить свои учетные записи.

Источник новости:
The Hacker News

Читать полностью