Den Entwicklern der Microsoft 365-Apps für Android ist ein Fehler bei der Auslieferung passiert. Ein bei der Aktualisierung der Apps versehentlich gesetztes Debug-Flag ermöglichte anderen Apps Kontotokens abzugreifen. Microsoft hat das Problem inzwischen behoben.
Es ist ein kurzer Nachtrag, da der Sachverhalt bereits zum 3. Juni 2026 bekannt wurde. The Hacker News weist beispielsweise in diesem Tweet und im Beitrag Microsoft 365 Android Apps Let Any App Steal Account Tokens via Leftover Debug Flag auf den Vorfall hin.
Single Sign On bei M365 Android-Apps
Microsoft 365-Apps verfügen über eine Funktion, die Tokens zwischen den Apps austauscht. Meldet sich ein Nutzer bei der Word-App an seinem Microsoft-Konto an, gilt dies auch für die PowerPoint-App und weitere Microsoft 365-Apps. Das macht Sinn. Allerdings sollten Dritt-Apps, die nichts mit Microsoft 365 zu tun haben, diese Anmeldetokens nicht verwenden können.
Wenn auch andere Apps Zugriff haben
Genau das Problem, das fremde Android-Apps die Anmeldetokens der M365-Apps missbrauchen konnten, ist durch einen Programmierfehler, bei dem ein Debug-Flag gesetzt blieb und in den Produktivbetrieb wanderte, passiert. Aufgedeckt haben dies Sicherheitsforscher von Enclave in diesem Beitrag, die das Ganze unter dem Begriff "FlagLeft" dokumentiert haben.
Bei der Analyse von Microsofts Android-Apps schlug das Enclave KI-Analysetool an und wies auf eine Sicherheitslücke hin. Die KI-Analyse lieferte dann ein beunruhigendes Ergebnis: In den M365-Android-Apps war nicht nur die Autorisierungsprüfung durch das erwähnte Debug-Flag deaktiviert. Die Sicherheitsexperten konnten auch zeigen, dass diese Sicherheitslücke auf mehrere Microsoft-Apps übertragen werden könnte. Denn der anfällige Code befand sich in einem gemeinsam genutzten Microsoft SDK.
Ein Proof-of-Concept
Die Forscher erstellten einen funktionierenden PoC auf einem Android-Gerät und konnten über eine nicht verifizierte Drittanbieter-App auf Microsoft-Kontotoken aller auf dem Android-Gerät installierten Apps zugreifen und sogar E-Mails lesen. Der Nutzer bekommt von allem nichts mit – dem Angreifer reichen die abgegriffenen Tokens aber, um über den Microsoft-Kontozugang zu agieren, den die App gerade freigegeben hatte. Betroffen von diesem FlagLeft-Bug waren die Android-Apps für:
- Word
- PowerPoint
- Excel
- Microsoft 365 Copilot
- Microsoft Loop
- OneNote
Die Sicherheitsforscher schreiben: "Was als eine seltsame Token-Anfrage begann, entwickelte sich zu einem Problem der Übernahme von Microsoft 365-Konten in sechs produktiven Android-Apps." – und haben das Ganze in einem YouTube-Video dokumentiert.
Inzwischen wurde das Problem durch Microsoft durch Aktualisierung der Apps behoben. Der Vorfall zeigt aber erneut, dass kleinste Fehler große Auswirkungen haben können – speziell wenn man bedenkt, auf was die Microsoft 365-Apps alles über das Microsoft Konto zugriff haben und was Microsoft 365 Copilot möglicherweise alles bewerkstelligen kann.
MVP: 2013 – 2016
Man darf sich fragen, "debug flag" oder versehentlich aufgeflogene Backdoor?
Ich würde da nicht in diese Backdoor-Theorien einsteigen wollen (lasse den Kommentar jetzt mal stehen, statt zu löschen). Eine Backdoor wird imho anders implementiert – da ist es relevanter, in die MS Konten in der Cloud rein zu kommen. Sollte wir daher nicht wirklich weiter vertiefen – danke für das Verständnis.
Wieder neues Sicherheits-Upsie von MS… ayayay