Исследователи безопасности из компании Enclave обнаружили опасную уязвимость в нескольких приложениях Microsoft для Android. Злоумышленники могли с её помощью незаметно проникать в учётные записи Microsoft бесчисленного количества пользователей и получать доступ к их электронной почте, календарю и файлам, хранящимся в облаке.
Исправления доступны. Пользователям следует обновить свои приложения Microsoft, чтобы получить эти исправления.
Согласно сообщению в блоге исследователей (открывается в новом окне), уязвимыми оказались Android-приложения Microsoft Word, Excel, PowerPoint, OneNote, а также Microsoft 365 Copilot и Microsoft Loop. В них, по-видимому, не был сброшен перед выпуском флаг под названием setIsDebugMode, предназначенный исключительно для целей отладки.
По словам исследователей, флаг имел значение true. Из-за этого любое стороннее Android-приложение на устройствах пользователей могло перехватывать токены учётных записей Microsoft. Таким образом, злоумышленники могли распространить собственное Android-приложение, которое после установки незаметно собирало бы и передавало токены для доступа к бесчисленным учётным записям Microsoft.
Функция для экономии времени на входе в учётную запись
То, что токены вообще можно было получить, по данным Enclave, связано с функцией, которая на самом деле предназначена только для обмена данными аутентификации между приложениями Microsoft. Благодаря этому такие приложения, как Word, Excel и PowerPoint, могут использовать одни и те же токены учётной записи, чтобы пользователям не приходилось входить в каждое из приложений отдельно, а только в одно из них.
Однако из-за упомянутого флага доступ к токенам получили не только эти приложения, но и все остальные. Поскольку причиной ошибки, по словам исследователей, был общий SDK Microsoft, она затронула несколько приложений. Впрочем, есть и исключения. Сообщается, что приложение Teams, например, не было уязвимо.
Согласно записи в блоге, уязвимость была обнаружена с помощью инструмента на базе ИИ. Microsoft зарегистрировала для этой уязвимости несколько идентификаторов CVE: CVE-2026-41100 (открывается в новом окне), CVE-2026-41101 (открывается в новом окне), CVE-2026-41102 (открывается в новом окне) и CVE-2026-42832 (открывается в новом окне). По данным корпорации, исправления доступны с майского «вторника обновлений», то есть с 12 мая. Таким образом, те, у кого установлены последние версии затронутых приложений, защищены.