Microsoft 365 Android-Apps: Sicherheitslücke gefährdet Milliarden von Nutzern
Ein einzelnes vergessenes Entwicklungsfunktionssymbol, das in der Produktionscode-Ausführung aktiv blieb, übermittelte stumm Microsoft-Kontoken an jede beliebige App auf einem Android-Gerät und gefährdete Milliarden

Video
Im Original eingebettet
Kurzfassung
Warum das wichtig ist
- Ein einzelnes vergessenes Entwicklungsfunktionssymbol, das in der Produktionscode-Ausführung aktiv blieb, übermittelte stumm Microsoft-Kontoken an jede beliebige App auf einem Android-Gerät und gefährdete Milliarden
- Ein vergessenes Entwicklungsfunktionssymbol, das fälschlicherweise in den Produktionscode integriert wurde, hat Milliarden ährdet.
- Die Schwachstelle ermöglichte es, gültige Microsoft-Konten stumm an jede beliebige App auf einem Android-Gerät zu übermitteln, ohne dass der Nutzer eine Interaktion oder Zustimmung leisten musste.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Ein einzelnes vergessenes Entwicklungsfunktionssymbol, das in der Produktionscode-Ausführung aktiv blieb, übermittelte stumm Microsoft-Kontoken an jede beliebige App auf einem Android-Gerät und gefährdete...
Warum relevant
Betroffen waren sechs führende Microsoft 365-Anwendungen, die durch Kontenübernahmen kompromittiert wurden.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Betroffen waren sechs führende Microsoft 365-Anwendungen, die durch Kontenübernahmen kompromittiert wurden. Die Sicherheitslücke, intern als „FlagLeft" bezeichnet, erlaubte jeder Drittanbieter-App auf demselben Gerät, gültige Microsoft-Token abzurufen und zu empfangen.
Dieser Vorgang erfolgte ohne Auslösung eines Login-Prompts, einer Berechtigungsanfrage oder einer Benachrichtigung für den Endnutzer. Die Ursache lag in einer einzigen Zeile Debug-Code, `setIsDebugMode(true)`, die versehentlich in den Produktionsbuilds aktiviert worden war.
Dieses Flag umging die Autorisierungsprüfung, die eigentlich sicherstellen sollte, dass nur vertrauenswürdige Microsoft-Apps Konten Gerät anfordern dürfen. Die Schwachstelle wurde Microsoft Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop und Microsoft OneNote für Android bestätigt.
Technik und Auswirkungen
Microsoft Teams blieb hiervon verschont, da sein entsprechendes Debug-Flag in der Produktion korrekt auf „false" gesetzt war. Da das fehlerhafte Flag innerhalb eines gemeinsamen Microsoft SDKs residierte, verbreitete sich der Code gleichzeitig über alle sechs betroffenen Anwendungen.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/microsoft-365-android-apps-account-takeover-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/microsoft-365-android-apps-account-takeover-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

SK Group könnte US-Fabrik bauen, um anomale Speicherpreisanstiege zu bekämpfen
Aufgrund außergewöhnlich hoher Speicherpreise und anhaltender Engpässe drohen die etablierten Halbleitermarktführer Samsung, SK hynix und Micron einem Marktverlust, während chinesische Konkurrenten wie CXMT und YMTC sowie Elon Musks geplante eigene Anlagen neue Wettbewerbsbedrohungen darstellen. Um die Produktionskapazität zu erhöhen und die Preise zu stabilisieren, plant die SK Group trotz geopolitischer Risiken und politischer Hürden den Bau einer neuen Fabrik in den USA, nachdem sie kürzlich 26,5 Milliarden Dollar an Kapital beschafft hat.
19.07.2026
Live Redaktion


