Fehler in Microsoft 365-Android-Apps ermöglichten Diebstahl von Login-Token – Borns Tech- und Windows-Blog
Bei den Entwicklern der Microsoft 365-Apps für Android ist ein Lieferfehler aufgetreten. Ein Debug-Flag, das beim Aktualisieren von Apps versehentlich gesetzt wurde, ermöglichte anderen Apps den Zugriff auf Konto-Tokens. Microsoft hat das Problem nun behoben.
Dies ist ein kurzer Nachtrag, da das Thema am 3. Juni 2026 entdeckt wurde. Hacker News beispielsweise in diesem Tweet und Microsoft 365 Android Apps erlaubten jeder App, Kontotokens über das Leftover Debug Flag im Artikel zu stehlen.
Single Sign-On in M365-Android-Apps
Microsoft 365-Apps verfügen über eine Funktion, die Token zwischen Apps austauscht. Wenn sich ein Benutzer bei seinem Microsoft-Konto für Word anmeldet, gilt dies auch für PowerPoint- und Microsoft 365-Apps. Das macht Sinn. Allerdings können Drittanbieteranwendungen, die nichts mit Microsoft 365 zu tun haben, diese Anmeldetokens nicht verwenden.
Wenn auch andere Anwendungen Zugriff haben
Das spezifische Problem, das es Android-Apps von Drittanbietern ermöglichte, M365-App-Anmeldetokens zu missbrauchen, war auf einen Programmierfehler zurückzuführen, bei dem das Debug-Flag gesetzt und in Produktion ging. Das haben Sicherheitsforscher von Enclave in diesem Artikel herausgefunden und unter dem Begriff „FlagLeft“ dokumentiert.
Bei der Analyse der Android-Anwendungen von Microsoft hat das AI-Analysetool Enclave eine Sicherheitslücke gefunden und gemeldet. Dann ergab die KI-Analyse ein beunruhigendes Ergebnis: In den M365-Android-Apps wurde die Berechtigungsprüfung nicht nur durch das erwähnte Debugging-Band deaktiviert. Sicherheitsexperten konnten zudem zeigen, dass sich diese Schwachstelle auf verschiedene Microsoft-Anwendungen ausbreiten könnte. Weil sich der anfällige Code in einem gemeinsam genutzten Microsoft SDK befand.
Ein Proof-of-Concept
Die Forscher erstellten einen PoC, der auf einem Android-Gerät ausgeführt wurde, und konnten auf die Microsoft-Kontotokens aller auf dem Android-Gerät installierten Apps zugreifen und sogar E-Mails über eine nicht verifizierte Drittanbieter-App lesen. Der Benutzer merkt davon nichts, aber die gestohlenen Token reichen aus, damit der Angreifer Zugriff auf das neu freigegebene Microsoft-Konto erhält. Android-Apps:
- das Wort
- Steckdose
- Excel
- Microsoft 365 Copilot
- Microsoft Loop
- OneNote
Die Sicherheitsforscher schrieben: „Was als seltsame Token-Anfrage begann, entwickelte sich in sechs Android-Produktionsanwendungen zu einem Microsoft 365-Kontoübernahmeproblem.“ – und dokumentieren Sie alles in einem YouTube-Video.
Microsoft hat das Problem durch ein Update der Apps behoben. Der Vorfall zeigt jedoch einmal mehr, dass kleinste Fehler große Folgen haben können, insbesondere wenn man bedenkt, auf welche Microsoft-365-Apps Sie über Ihr Microsoft-Konto zugreifen können und was Microsoft 365 Copilot leisten kann.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
Related Posts
Hetzners Nextcloud-Instanz wirft Zertifikatfehler aus (3. Juni 2026) Borns IT- und Windows-Blog
Jetzt haben wir einen IT- und Windows-Blog von „Bitskrieg“ Born
