أدى إهمال في كود تطبيق Microsoft 365 لنظام أندرويد إلى كشف مفاتيح وصول المستخدمين. أي تطبيق مثبت على الجهاز كان بإمكانه سرقتها دون أذونات خاصة. الخطأ، وهو جزء من كود اختبار تم نسيانه، أثر على رسائل البريد الإلكتروني والمستندات الشخصية. أصدرت الشركة بالفعل تحديثًا تصحيحيًا، لكن الحادثة تؤكد هشاشة الأمان في تطبيقات الأجهزة المحمولة.
كود اختبار منسي: خطر عدم تنظيف التطوير 🔐
كان الخلل يكمن في مكتبة مصادقة تضمنت مكون تصحيح نشطًا في إصدارات الإنتاج. هذا المكون سمح لتطبيقات الطرف الثالث باعتراض رموز OAuth دون الحاجة إلى أذونات إضافية. أرجع مايكروسوفت الخطأ إلى جزء من كود اختبار لم يتم حذفه قبل الإطلاق. أثرت الثغرة على جميع إصدارات Microsoft 365 لنظام أندرويد حتى تحديث الأمان. يجب على المطورين مراجعة عملياتهم لمنع وصول كود الاختبار إلى البيئات الحقيقية.
الكلاسيكية: ترك المفاتيح في السيارة الرقمية 🚗
يعني، يبدو أن مايكروسوفت نسيت تنظيف الكود مثلما ينسى أحدهم ترك الحليب خارج الثلاجة. اتضح أن أي تطبيق أندرويد كان بإمكانه التسلل وأخذ مفاتيح الوصول وكأنها حلوى. الأسوأ أنه لم تكن هناك حاجة لأذونات خاصة، فقط رغبة. لحسن الحظ أن المهاجمين لا يتربصون عادةً في متجر Play، أليس كذلك؟ هذا يعني أنه يجب مراجعة الكود قبل أن يسرقوا حتى صور القطة.