Android용 Microsoft 365 코드의 실수로 사용자의 액세스 키가 노출되었습니다. 기기에 설치된 모든 앱이 특별한 권한 없이 이를 도용할 수 있었습니다. 오류는 잊혀진 테스트 코드 조각으로, 이메일과 개인 문서에 영향을 미쳤습니다. 회사는 이미 수정 업데이트를 출시했지만, 이 사건은 모바일 앱 보안의 취약성을 강조합니다.
잊혀진 테스트 코드: 개발 정리의 중요성 🔐
오류는 프로덕션 버전에서 활성화된 디버그 구성 요소를 포함하는 인증 라이브러리에 있었습니다. 이 구성 요소는 타사 앱이 추가 권한 없이 OAuth 토큰을 가로챌 수 있도록 했습니다. Microsoft는 출시 전에 제거되지 않은 테스트 코드 조각에 오류를 돌렸습니다. 이 취약점은 보안 업데이트까지 Android용 Microsoft 365의 모든 버전에 영향을 미쳤습니다. 개발자는 테스트 코드가 실제 환경에 도달하지 않도록 프로세스를 검토해야 합니다.
디지털 자동차에 열쇠를 두고 온 고전적인 실수 🚗
마치 Microsoft에서 우유를 냉장고 밖에 두고 온 것처럼 코드 정리를 잊어버린 것 같습니다. 알고 보니 모든 Android 앱이 사탕을 가져가듯 액세스 키를 가져갈 수 있었습니다. 최악의 점은 특별한 권한이 필요하지 않았고, 의지만 있으면 된다는 것입니다. 다행히 공격자들이 Play Store에서 항상 기다리고 있지는 않죠, 그렇죠? 결국, 고양이 사진까지 도난당하기 전에 코드를 검토해야 할 때입니다.