Eine Nachlässigkeit im Code von Microsoft 365 für Android legte die Zugangsschlüssel der Benutzer offen. Jede auf dem Gerät installierte App konnte sie ohne spezielle Berechtigungen stehlen. Der Fehler, ein vergessenes Testcode-Fragment, betraf E-Mails und persönliche Dokumente. Das Unternehmen hat bereits ein korrigierendes Update veröffentlicht, aber der Vorfall unterstreicht die Fragilität der Sicherheit in mobilen Apps.
Vergessener Testcode: Das Risiko, die Entwicklung nicht zu bereinigen 🔐
Der Fehler lag in einer Authentifizierungsbibliothek, die in den Produktionsversionen eine aktive Debugging-Komponente enthielt. Diese Komponente ermöglichte es Drittanwendungen, OAuth-Tokens abzufangen, ohne dass zusätzliche Berechtigungen erforderlich waren. Microsoft führte den Fehler auf ein Testcode-Fragment zurück, das vor der Veröffentlichung nicht entfernt wurde. Die Sicherheitslücke betraf alle Versionen von Microsoft 365 für Android bis zum Sicherheitsupdate. Entwickler sollten ihre Prozesse überprüfen, um zu verhindern, dass Testcode in reale Umgebungen gelangt.
Der Klassiker: Die Schlüssel im digitalen Auto stecken lassen 🚗
Na ja, es scheint, als hätte man bei Microsoft vergessen, den Code zu bereinigen, so wie man die Milch aus dem Kühlschrank stellt. Es stellte sich heraus, dass sich jede Android-App einschleichen und die Zugangsschlüssel wie Süßigkeiten mitnehmen konnte. Das Schlimmste ist, dass keine speziellen Berechtigungen nötig waren, nur der Wille. Gut, dass Angreifer im Play Store nicht gerade auf der Lauer liegen, oder? Nun ja, es heißt also, den Code zu überprüfen, bevor uns sogar die Katzenfotos gestohlen werden.