Una svista nel codice di Microsoft 365 per Android ha esposto le chiavi di accesso degli utenti. Qualsiasi applicazione installata sul dispositivo poteva rubarle senza permessi speciali. L'errore, un frammento di codice di prova dimenticato, ha interessato email e documenti personali. L'azienda ha già rilasciato un aggiornamento correttivo, ma l'incidente sottolinea la fragilità della sicurezza nelle app mobili.
Codice di prova dimenticato: il rischio di non pulire lo sviluppo 🔐
Il difetto risiedeva in una libreria di autenticazione che includeva un componente di debug attivo nelle versioni di produzione. Questo componente permetteva ad applicazioni di terze parti di intercettare token OAuth senza necessità di permessi aggiuntivi. Microsoft ha attribuito l'errore a un frammento di codice di prova che non è stato rimosso prima del rilascio. La vulnerabilità ha interessato tutte le versioni di Microsoft 365 per Android fino all'aggiornamento di sicurezza. Gli sviluppatori devono rivedere i propri processi per evitare che il codice di test arrivi in ambienti reali.
Il classico di lasciare le chiavi inserite nell'auto digitale 🚗
Insomma, sembra che in Microsoft si siano dimenticati di pulire il codice come chi lascia il latte fuori dal frigo. Risulta che qualsiasi app Android potesse intrufolarsi e portare via le chiavi di accesso come fossero caramelle. La cosa peggiore è che non servivano permessi speciali, solo voglia. Meno male che gli attaccanti non sono soliti appostarsi nel Play Store, vero? Ecco, tocca rivedere il codice prima che ci rubino persino le foto del gatto.