Android向けMicrosoft 365のコードの不注意により、ユーザーのアクセスキーが露出しました。デバイスにインストールされたアプリは、特別な許可なしにそれらを盗むことができました。エラーは、忘れられたテストコードの断片であり、メールや個人文書に影響を与えました。同社はすでに修正アップデートをリリースしましたが、このインシデントはモバイルアプリのセキュリティの脆弱性を浮き彫りにしています。
忘れられたテストコード:開発をクリーンにしないリスク 🔐
この障害は、本番バージョンでアクティブなデバッグコンポーネントを含む認証ライブラリにありました。このコンポーネントにより、サードパーティアプリは追加の許可なしにOAuthトークンを傍受できました。マイクロソフトは、リリース前に削除されなかったテストコードの断片が原因であるとしています。この脆弱性は、セキュリティアップデートまでのすべてのバージョンのAndroid向けMicrosoft 365に影響を与えました。開発者は、テストコードが実際の環境に到達するのを防ぐために、プロセスを見直す必要があります。
デジタルカーに鍵を置き忘れる古典的なミス 🚗
つまり、マイクロソフトは牛乳を冷蔵庫の外に置き忘れるように、コードのクリーンアップを忘れたようです。どんなAndroidアプリでも、まるでキャンディーを奪うかのようにアクセスキーを盗み出すことができたのです。最悪なのは、特別な許可が必要なかったことで、ただやろうと思えばできたことです。攻撃者がPlayストアで待ち構えていることはめったにないのが幸いですよね?つまり、猫の写真まで盗まれる前に、コードを見直す時が来たということです。