Sofort updaten: Gefährliche Sicherheitslücke in Microsoft-Apps für Android entdeckt

Sicherheitsforscher von Enclave haben eine Sicherheitslücke entdeckt, die Microsoft-365-Apps zu einem Einfallstor für die Kontoübernahme bei Milliarden von Nutzern macht. Die Schwachstelle steckt in mehreren Android-Apps, darunter Microsoft Word, Excel, Powerpoint, OneNote, Microsoft 365 Copilot und Microsoft Loop.

Im Blogbeitrag, der die Untersuchungen vorstellt, heißt es, dass jede andere auf demselben Android-Gerät installierte App unbemerkt auf das Token eines Microsoft-365-Kontos zugreifen konnte. Dadurch ist es möglich, ohne das Wissen des Benutzers als das angemeldete Konto zu agieren.

Angreifer hätten diese Lücke also ausnutzen können, um Zugriff auf Kontakte, Chatverläufe, E-Mails, sensible Daten und Dokumente zu erhalten. Diese Informationen können für Phishing-Versuche oder Account-Übernahmen genutzt werden.

Laut Enclave beruhte die Schwachstelle auf einer Funktion, die Anmeldungen bei den entsprechenden Apps erleichtern sollte. Scheinbar tauschten die Microsoft-Apps Authentifizierungsdaten untereinander aus, um dafür zu sorgen, dass ein Nutzer sich nur einmal anmelden musste, um Zugriff auf alle Anwendungen zu erhalten.

Zu diesem Zweck war in den Apps ein Flag namens setIsDebugMode enthalten, das den Zugriff auf das Account-Token ermöglichte, das bei der Anmeldung erstellt wurde. Durch einen Fehler ermöglichte dieses Flag aber den Zugriff von allen Apps aus, die auf dem Gerät installiert wurden.

Ein potenzieller Angreifer hätte also lediglich eine eigene App auf Ihrem Smartphone einschleusen müssen, um Zugriff auf Ihr Microsoft-Konto zu erhalten. Das kann gefährliche Folgen für Sie und auch für Ihr Unternehmen haben, wenn Sie dort mit einem Arbeitsaccount angemeldet sind.

So schützen Sie sich

Microsoft hat das Problem aufgrund der Meldung der Sicherheitsforscher behoben und liefert entsprechende Fixes seit dem letzten Patch-Day am 12. Mai aus. Es ist aber unbedingt notwendig, dass Sie die betroffenen Anwendungen aktualisieren.

Prüfen Sie also umgehend auf Ihrem privaten oder dienstlichen Android-Gerät, ob Sie die neueste Version von Word, Powerpoint, Excel, Microsoft 365 Copilot, OneNote oder Microsoft Loop erhalten haben. Falls nicht, müssen Sie die App über den Google Play Store aktualisieren oder sich an Ihre Organisation wenden.

Android-Apps auf dem PC: So laufen sie auf Windows 11