Оставен debug режим в Microsoft 365 Android приложения създава риск за достъп до акаунти

Обзор

Изследователи по сигурността разкриха проблем в няколко Microsoft 365 приложения за Android, при който оставен debug режим в производствени версии е позволявал на друго приложение на същото устройство да поиска и получи токени за достъп до вече вписан Microsoft акаунт.

Проблемът е наречен FlagLeft от Enclave и засяга приложения като Word, Excel, PowerPoint, Microsoft 365 Copilot, Loop и OneNote. Microsoft вече е публикувала корекции, а за част от засегнатите приложения са издадени CVE записи, включително CVE-2026-41100, CVE-2026-41101, CVE-2026-41102 и CVE-2026-42832.

Според публичната информация няма доказателства за активно използване на проблема преди корекциите. Въпреки това рискът е сериозен, защото засяга достъп до корпоративни акаунти, имейл, файлове и календар през мобилно устройство.

Какво се случва

Microsoft 365 приложенията за Android използват споделен механизъм за вписване, за да не се налага потребителят да въвежда данни отново във всяко отделно приложение. Например, ако потребителят вече е влязъл в Word, други Microsoft приложения могат да използват същия доверен механизъм за достъп.

Този процес трябва да проверява дали приложението, което иска токен, е доверено Microsoft приложение. Според анализа на Enclave проверката е била пропускана заради оставена настройка за debug режим в споделен Microsoft SDK. Това е позволявало на недоверено приложение, инсталирано на същото Android устройство, да поиска токен за достъп без парола, без нов екран за вписване и без видимо предупреждение за потребителя.

Защо това има значение

Токените за достъп са особено чувствителни, защото могат да дадат достъп до услуги без повторно въвеждане на парола. В този случай става дума за токени, използвани за единно вписване между Microsoft приложения.

Ако злонамерено приложение получи такъв токен, то потенциално може да достъпи:

• имейл съдържание
• файлове в Microsoft 365
• календарни събития
• съобщения или други услуги, свързани с акаунта
• активни сесии, които изглеждат легитимни в логовете

Това прави проблема особено важен за организации, които позволяват достъп до Microsoft 365 през лични или корпоративни Android устройства.

Какъв е потенциалният ефект

Рискът не е свързан с отдалечена атака през интернет. Необходим е сценарий, при който на същото устройство има инсталирано злонамерено или компрометирано приложение.

Въпреки това ефектът може да бъде сериозен, защото:

• атаката може да се случи без видимо действие от страна на потребителя
• многофакторната автентикация може да не помогне, ако вече е открадната валидна сесия
• обновяването на приложението не отменя автоматично токени, които вече са били издадени
• достъпът може да изглежда като нормална активност от мобилно устройство

Това е добър пример защо мобилните устройства трябва да се третират като част от корпоративната повърхност за атака, а не само като помощен канал за достъп.

Препоръчителни действия

Организациите трябва да проверят дали засегнатите приложения са обновени чрез Google Play или чрез използваната система за управление на мобилни устройства.

Приоритетни действия:

• обновяване на Word, Excel, PowerPoint, Microsoft 365 Copilot, Loop и OneNote за Android
• проверка дали устройствата не използват версии преди коригираните издания
• принудително обновяване чрез MDM (Mobile Device Management)
• преглед на инсталираните приложения на корпоративни устройства
• ограничаване на достъпа от устройства без контрол и политика за съответствие
• отмяна на refresh tokens и принудително ново вписване при съмнение за риск
• наблюдение за необичайна активност от мобилни сесии

NVD посочва например, че Microsoft Word for Android е засегнат във версии преди 16.0.19822.20190. Подобни корекции са разпространени и за останалите засегнати приложения чрез актуализации.

DIAMATIX перспектива

Този случай показва защо мобилните приложения за продуктивност вече са част от критичната корпоративна среда. Те не са просто удобен начин за преглед на документи. Те носят достъп до имейл, файлове, календар, вътрешна комуникация и облачни услуги.

Основният риск тук не е само в самото приложение, а в доверието между приложенията на едно устройство. Когато този механизъм бъде нарушен, злонамерено приложение може да се възползва от вече съществуваща сесия.

Защитата трябва да включва не само обновяване, а и наблюдение на идентичности, управление на устройствата и контрол върху мобилните приложения. В среда с Microsoft 365 това е част от сигурността на акаунтите, не отделен мобилен проблем.

CISO анализ

От гледна точка на CISO това е риск в слоя на идентичността и мобилния достъп.

Ключовите въпроси са:

• Колко служители използват Microsoft 365 от Android устройства?
• Управляват ли се тези устройства чрез MDM?
• Позволен ли е достъп от лични устройства без контрол?
• Можем ли да видим необичайна активност от мобилни сесии?
• Имаме ли процес за принудително ново вписване и отмяна на токени при риск?

Този тип инциденти показват, че многофакторната автентикация не е достатъчна, ако валидни токени вече са изложени. Организациите трябва да наблюдават не само вписването, а и последващото използване на сесиите.

Какво означава това за вашата среда

• Този тип риск разчита на злоупотреба с доверие между приложения на едно мобилно устройство, а не на класическа фишинг страница или открадната парола.
• Откриването зависи от видимост върху мобилните устройства, активните сесии, токените и необичайната активност в Microsoft 365.
• Реакцията изисква обновяване на приложенията, управление на устройствата и отмяна на токени при съмнение за компромис.

Знаете ли кои мобилни устройства имат достъп до вашата Microsoft 365 среда?

Можете ли да откриете злоупотреба с валидна мобилна сесия, дори когато няма ново въвеждане на парола?

Виж как подобни рискове за идентичности и мобилен достъп се анализират и управляват в реална оперативна среда.

Свържете се с DIAMATIX
Trusted · Innovative · Vigilant

Източници

• Enclave. FlagLeft research on Microsoft 365 Android apps.
• Microsoft / NVD. CVE-2026-41100, CVE-2026-41101, CVE-2026-41102, CVE-2026-42832.
• SecurityWeek. Analysis of the Microsoft Android apps debug flag issue.
• The Hacker News. Public reporting on the Microsoft 365 Android token exposure issue.

Статията е базирана на публично достъпна техническа и threat intelligence информация към юни 2026 г.