{"id":325915,"date":"2026-06-05T05:51:26","date_gmt":"2026-06-05T03:51:26","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=325915"},"modified":"2026-06-05T10:44:50","modified_gmt":"2026-06-05T08:44:50","slug":"fehler-in-microsoft-365-android-apps-ermoeglichte-anmeldetoken-klau","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/05\/fehler-in-microsoft-365-android-apps-ermoeglichte-anmeldetoken-klau\/","title":{"rendered":"Fehler in Microsoft 365 Android-Apps erm\u00f6glichte Anmeldetoken-Klau"},"content":{"rendered":"

Den Entwicklern der Microsoft 365-Apps f\u00fcr Android ist ein Fehler bei der Auslieferung passiert. Ein bei der Aktualisierung der Apps versehentlich gesetztes Debug-Flag erm\u00f6glichte anderen Apps Kontotokens abzugreifen. Microsoft hat das Problem inzwischen behoben.<\/p>\n

<\/p>\n

\"\"Es ist ein kurzer Nachtrag, da der Sachverhalt bereits zum 3. Juni 2026 bekannt wurde. The Hacker News weist beispielsweise in diesem Tweet<\/a> und im Beitrag Microsoft 365 Android Apps Let Any App Steal Account Tokens via Leftover Debug Flag<\/a> auf den Vorfall hin.<\/p>\n

\"M365-Android-App-Bug\"<\/a><\/p>\n

Single Sign On bei M365 Android-Apps<\/h2>\n

Microsoft 365-Apps verf\u00fcgen \u00fcber eine Funktion, die Tokens zwischen den Apps austauscht. Meldet sich ein Nutzer bei der Word-App an seinem Microsoft-Konto an, gilt dies auch f\u00fcr die PowerPoint-App und weitere Microsoft 365-Apps. Das macht Sinn. Allerdings sollten Dritt-Apps, die nichts mit Microsoft 365 zu tun haben, diese Anmeldetokens nicht verwenden k\u00f6nnen.<\/p>\n

Wenn auch andere Apps Zugriff haben<\/h2>\n

Genau das Problem, das fremde Android-Apps die Anmeldetokens der M365-Apps missbrauchen konnten, ist durch einen Programmierfehler, bei dem ein Debug-Flag gesetzt blieb und in den Produktivbetrieb wanderte, passiert.\u00a0Aufgedeckt haben dies Sicherheitsforscher von Enclave in diesem Beitrag<\/a>, die das Ganze unter dem Begriff \"FlagLeft\" dokumentiert haben.<\/p>\n

Bei der Analyse von Microsofts Android-Apps schlug das Enclave KI-Analysetool an und wies auf eine Sicherheitsl\u00fccke hin. Die KI-Analyse lieferte dann ein beunruhigendes Ergebnis: In den M365-Android-Apps war nicht nur die Autorisierungspr\u00fcfung durch das erw\u00e4hnte Debug-Flag deaktiviert. Die Sicherheitsexperten konnten auch zeigen, dass diese Sicherheitsl\u00fccke auf mehrere Microsoft-Apps \u00fcbertragen werden k\u00f6nnte. Denn der anf\u00e4llige Code befand sich in einem gemeinsam genutzten Microsoft SDK.<\/p>\n

Ein Proof-of-Concept<\/h2>\n

Die Forscher erstellten einen funktionierenden PoC auf einem Android-Ger\u00e4t und konnten \u00fcber eine nicht verifizierte Drittanbieter-App auf Microsoft-Kontotoken aller auf dem Android-Ger\u00e4t installierten Apps zugreifen und sogar E-Mails lesen. Der Nutzer bekommt von allem nichts mit – dem Angreifer reichen die abgegriffenen Tokens aber, um \u00fcber den Microsoft-Kontozugang zu agieren, den die App gerade freigegeben hatte. Betroffen von diesem FlagLeft-Bug waren die Android-Apps f\u00fcr:<\/p>\n