Недосмотр в коде Microsoft 365 для Android оставил открытыми ключи доступа пользователей. Любое приложение, установленное на устройстве, могло украсть их без специальных разрешений. Ошибка, забытый фрагмент тестового кода, затронула электронные письма и личные документы. Компания уже выпустила исправляющее обновление, но инцидент подчеркивает хрупкость безопасности в мобильных приложениях.
Забытый тестовый код: риск неочищенной разработки 🔐
Ошибка заключалась в библиотеке аутентификации, которая включала активный компонент отладки в производственных версиях. Этот компонент позволял сторонним приложениям перехватывать токены OAuth без необходимости дополнительных разрешений. Microsoft объяснила ошибку фрагментом тестового кода, который не был удален перед выпуском. Уязвимость затронула все версии Microsoft 365 для Android до обновления безопасности. Разработчикам следует пересмотреть свои процессы, чтобы избежать попадания тестового кода в реальные среды.
Классика: оставить ключи в цифровой машине 🚗
Ну вот, похоже, в Microsoft забыли почистить код, как будто оставили молоко вне холодильника. Оказывается, любое приложение для Android могло пробраться и унести ключи доступа, как конфеты. Хуже всего, что для этого не нужны были специальные разрешения, только желание. Хорошо еще, что злоумышленники не часто караулят в Play Store, правда? Вот так, пора проверять код, пока у нас не украли даже фотографии кота.