一行代码致使数十亿次微软安卓应用下载面临安全风险
- 浏览次数 652
- 喜欢 0
六款微软 365 安卓客户端存在同源漏洞,数十亿次下载对应的用户设备均存在被入侵隐患。
漏洞由 AI 自动化漏洞挖掘厂商 Enclave 率先发现,相关研究原定周二对外公开,内容已独家交由《SecurityWeek》首发。问题根源是Word、PowerPoint、Excel、微软 365 Copilot、Microsoft Loop、OneNote 这六款安卓应用正式版代码里遗留了调试开关代码:IsDebugMode (true),调试模式被意外在生产环境开启;Teams 等其余微软应用未开启该调试项,因此不受漏洞影响。
调试标记带来的影响各不相同,多数仅作用于日志打印、调试输出。Enclave 在研究报告中表示:“本次漏洞的调试开关改动了账号令牌的共享逻辑,开启调试后,拦截非可信应用获取令牌的安全校验逻辑被直接跳过。”
微软产品设计初衷:同一设备上,微软旗下各应用间可免重复登录、自动互通账号凭证,应用间正常传递访问令牌,但严格禁止向第三方安卓程序下发令牌。而该调试配置移除了第三方应用拦截限制,任何安卓软件发起请求,就能拿到微软账号访问令牌。
攻击者利用门槛极低:只需编写一段请求获取微软应用权限的代码,打包进全新 APP 或是篡改后的应用内,再设法分发至用户设备即可完成攻击。
Enclave 联合创始人兼首席产品官亚尼尔・察里米说明:“攻击者仅需 15 行代码,向受影响微软应用申请权限就能直接拿到令牌,利用方式十分简便,漏洞依托原生业务接口实现。”
漏洞问题不在于令牌分发逻辑本身,而是本该仅允许微软系应用调取令牌的限制,因一行遗留调试代码失效。一次不起眼的失误,牵连累计数十亿下载体量的应用。
察里米举例攻击场景:某手游开发者的游戏自带自动更新、拥有一万名存量用户,开发者在版本更新包中嵌入漏洞利用代码;用户设备自动安装更新后,恶意代码在后台静默向本机微软应用索取令牌,再悄悄回传给攻击者。
全程用户无任何弹窗与异常提示,攻击者即可接管账号令牌,属于变相供应链攻击。
报告指出:用户全程无感知,但攻击者凭借窃取的令牌,就能冒用目标微软账号,操作对应应用内全部资源。研究团队已在上述六款安卓应用中复现漏洞。
被盗取的是微软 FOCI 长效令牌,可长期复用、刷新而不易被察觉,滥用风险极高。Enclave 警示:“受控恶意应用可依托令牌全权接管用户微软账号资源,包含邮件、云端文件、聊天记录、日程数据;攻击者能够查阅隐私资料、篡改文档、冒用账号发送消息。”
研究机构已向微软安全响应中心(MSRC)上报漏洞,微软快速确认隐患并完成修复,于 5 月 12 日分配 CVE 编号:CVE-2026-41100、CVE-2026-41101、CVE-2026-41102。除 PowerPoint 对应的 CVE-2026-41102 单独在当日推送谷歌应用商店更新包以外,剩余漏洞随微软周二例行补丁周期完成分发。
安卓用户只要更新应用至最新版本即可规避该风险。
Enclave 总结:“漏洞已上报、核验并修复,但本次事件暴露出关键隐患:本应严控禁止流入生产环境的调试配置,轻易进入多款主力应用、破坏账号安全防护逻辑,现有的上线校验机制存在明显疏漏。”