Microsoft 365 Android アプリの脆弱性、デバッグフラグ放置でトークン盗難可能

概要

Microsoft 365の複数のAndroidアプリ（Word、PowerPoint、Excel、Copilot、Loop、OneNote）にセキュリティ脆弱性が見つかりました。本番環境に遺されたデバッグフラグ「setIsDebugMode(true)」により、アカウント認証トークン（FOCI トークン：複数アプリ間でシングルサインオンを実現するリフレッシュトークン）の共有検証が無効化されていました。その結果、同じスマートフォン内の悪意あるアプリが、ユーザーのパスワードやログイン画面なしに、メール読み取りやカレンダー閲覧、メッセージ送信などを実行できました。Microsoftは5月12日に4つのCVEを公開し、既にGooglePlayを通じてパッチが配布されています。ユーザーはこれらのアプリをすぐに更新する必要があります。

元記事（The Hacker News）