Une négligence dans le code de Microsoft 365 pour Android a exposé les clés d'accès des utilisateurs. Toute application installée sur l'appareil pouvait les voler sans autorisations spéciales. L'erreur, un fragment de code de test oublié, a affecté les e-mails et les documents personnels. L'entreprise a déjà publié une mise à jour corrective, mais l'incident souligne la fragilité de la sécurité dans les applications mobiles.
Code de test oublié : le risque de ne pas nettoyer le développement 🔐
Le défaut résidait dans une bibliothèque d'authentification qui incluait un composant de débogage actif dans les versions de production. Ce composant permettait à des applications tierces d'intercepter les jetons OAuth sans nécessiter d'autorisations supplémentaires. Microsoft a attribué l'erreur à un fragment de code de test qui n'a pas été supprimé avant le lancement. La vulnérabilité a affecté toutes les versions de Microsoft 365 pour Android jusqu'à la mise à jour de sécurité. Les développeurs doivent revoir leurs processus pour éviter que du code de test n'atteigne des environnements réels.
Le classique des clés laissées sur la voiture numérique 🚗
Bon, on dirait que chez Microsoft, ils ont oublié de nettoyer le code comme on oublie le lait en dehors du frigo. Il s'avère que n'importe quelle application Android pouvait s'infiltrer et emporter les clés d'accès comme des bonbons. Le pire, c'est qu'aucune autorisation spéciale n'était nécessaire, juste de l'envie. Heureusement que les attaquants ne sont pas souvent à l'affût sur le Play Store, n'est-ce pas ? Bref, il est temps de vérifier le code avant qu'on ne nous vole même les photos du chat.