Microsoft 365 Android-Apps: Sicherheitslücke gefährdet Milliarden von Nutzern

Betroffen waren sechs führende Microsoft 365-Anwendungen, die durch Kontenübernahmen kompromittiert wurden. Die Sicherheitslücke, intern als „FlagLeft" bezeichnet, erlaubte jeder Drittanbieter-App auf demselben Gerät, gültige Microsoft-Token abzurufen und zu empfangen.

Dieser Vorgang erfolgte ohne Auslösung eines Login-Prompts, einer Berechtigungsanfrage oder einer Benachrichtigung für den Endnutzer. Die Ursache lag in einer einzigen Zeile Debug-Code, `setIsDebugMode(true)`, die versehentlich in den Produktionsbuilds aktiviert worden war.

Dieses Flag umging die Autorisierungsprüfung, die eigentlich sicherstellen sollte, dass nur vertrauenswürdige Microsoft-Apps Konten Gerät anfordern dürfen. Die Schwachstelle wurde Microsoft Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop und Microsoft OneNote für Android bestätigt.

Technik und Auswirkungen

Microsoft Teams blieb hiervon verschont, da sein entsprechendes Debug-Flag in der Produktion korrekt auf „false" gesetzt war. Da das fehlerhafte Flag innerhalb eines gemeinsamen Microsoft SDKs residierte, verbreitete sich der Code gleichzeitig über alle sechs betroffenen Anwendungen.

Microsoft 365-Apps nutzen einen Token-Sharing-Mechanismus namens FOCI (Family Client IDs), um ein nahtloses Single Sign-On über die gesamte App-Suite hinweg zu ermöglichen. So bedeutet beispielsweise das Anmelden bei Word, dass PowerPoint oder Excel keinen separaten Login benötigen. Dies ist ein legitimer und beabsichtigter Designentschluss.

Allerdings umgeht die Aktivierung von `setIsDebugMode(true)` den Vertrauensüberprüfungsschritt, der eine legitime Microsoft-App ürdigen Drittanbieter-App unterscheiden soll. Die gestohlenen Tokens sind besonders gefährlich, da sie eine langfristige Gültigkeit besitzen, erneuerbar sind und keine verdächtigen Aktivitäten in den Logs erzeugen.

Einordnung fuer Autofahrer

Der Datenverkehr sieht dabei vollständig normal aus. Ist der Debug-Modus aktiv, kann jede gemeinsam installierte App denselben Token-Anforderung stellen und Gegenzug vollständige FOCI-Tokens erhalten.

Ein Angreifer, der diese Schwachstelle ausnutzt, könnte E-Mails stumm lesen, OneDrive-Dateien einsehen, Nachrichten versenden und Kalenderdaten anzeigen, alles unter der Identität des angemeldeten Benutzers. Das Microsoft Security Response Center (MSRC) bestätigte alle gemeldeten Probleme und lieferte Patches, wobei mehrere CVEs zugewiesen wurden.

CVE-2026-41100 betrifft Microsoft 365 Copilot für Android und wurde mit einem CVSS-Score von 4,4 (Medium) bewertet. CVE-2026-41101 betrifft Word für Android und CVE-2026-41102 PowerPoint für Android; beide wurden mit einem Score von 7,1 (High) eingestuft. Microsoft Office für Android weist einen CVSS-Score von 7,7 (Important) auf.

Sicherheitslage und Risiko

Alle Probleme fallen unter die Kategorie CWE-284 (Improper Access Control) und wurden am 12. Mai 2026 veröffentlicht. Forscher haben die kritische Schwachstelle in einem gemeinsamen Microsoft SDK entdeckt, das in mehreren Microsoft 365-Apps für Android verwendet wird.

Die kombinierte Installationszahl der sechs betroffenen Apps erstreckt sich über Milliarden äten weltweit. Jeder angemeldete Nutzer war potenziell einem stillen Token-Diebstahl durch jede mitinstallierte App ausgesetzt, ohne dass auf der Nutzerseite ein sichtbarer Hinweis auf eine Kompromittierung vorlag. Microsoft hat alle sechs Apps gepatcht.

Nutzer müssen Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop und OneNote unverzüglich auf ihre neuesten Android-Versionen aktualisieren. Administratoren, dass die gepatchten Versionen auf verwalteten Geräten bereitgestellt wurden.

Technischer Hintergrund

Zudem wird empfohlen, die OAuth-Token-Aktivität Microsoft Defender for Cloud Apps auf anomales Verhalten zu überprüfen. Dieser Vorfall zeigt, wie ein einzelnes Entwicklungsartefakt, eine einzige boolesche Flagge, ein gesamtes Authentifizierungsvertrauensmodell zusammenbrechen lassen kann, sobald es in die Produktion gelangt.

Der Fehler lag nicht im FOCI-Token-Sharing-Design selbst, sondern im fehlenden Gate, das den Zugriff darauf steuert.

Da der Code in einem SDK geteilt wurde, betraf eine einzige Übersehenheit sofort sechs große Apps und Milliarden Enclave entwickelte KI-gestützte Variantenanalyse war entscheidend, um den gesamten Umfang der Schwachstelle rasch im gesamten Microsoft 365 Android-Portfolio zu kartieren. *Hinweis: Abi ist Security Editor und Mitautorin bei