Un descuido en el código de Microsoft 365 para Android dejó expuestas las claves de acceso de los usuarios. Cualquier aplicación instalada en el dispositivo podía robarlas sin permisos especiales. El error, un fragmento de código de prueba olvidado, afectó a correos y documentos personales. La compañía ya lanzó una actualización correctiva, pero el incidente subraya la fragilidad de la seguridad en apps móviles.
Código de prueba olvidado: el riesgo de no limpiar el desarrollo 🔐
El fallo residía en una biblioteca de autenticación que incluía un componente de depuración activo en las versiones de producción. Este componente permitía a terceras aplicaciones interceptar tokens OAuth sin necesidad de permisos adicionales. Microsoft atribuyó el error a un fragmento de código de prueba que no se eliminó antes del lanzamiento. La vulnerabilidad afectó a todas las versiones de Microsoft 365 para Android hasta la actualización de seguridad. Los desarrolladores deben revisar sus procesos para evitar que código de pruebas llegue a entornos reales.
El clásico de dejar las llaves puestas en el coche digital 🚗
Vamos, que parece que en Microsoft se olvidaron de limpiar el código como quien deja la leche fuera de la nevera. Resulta que cualquier app de Android podía colarse y llevarse las claves de acceso como si fueran caramelos. Lo peor es que no hacían falta permisos especiales, solo ganas. Menos mal que los atacantes no suelen estar al acecho en la Play Store, ¿verdad? Pues eso, que toca revisar el código antes de que nos roben hasta las fotos del gato.