微软(Microsoft)于近期修复了影响其Microsoft 365安卓应用套件的令牌(Token)安全漏洞。该漏洞因调试标志(debug flag)在生产版本中保持启用状态,导致同一设备上的任意应用均可未经用户授权请求账户令牌。微软已在5月12日发布安全更新以降低风险,IT管理员应立即核查相关应用版本并进行部署。
漏洞详情与影响范围
此次漏洞涉及六款Microsoft 365安卓应用,包括Word、Excel、PowerPoint、Outlook、OneDrive及Teams。根据安全研究,这些应用的调试标志在正式发布包中未被关闭,导致其他已安装在设备上的应用可以绕过用户交互直接调用令牌请求接口。攻击者只需在受害设备上运行一个具有基本权限的恶意应用,即可窃取Microsoft账户令牌,进而获取邮件、文档、云存储等敏感数据。
令牌(Token)是OAuth认证流程中的核心凭证,用于在无需反复输入密码的情况下标识用户身份。一旦令牌泄露,攻击者可维持对账户的持久化访问,甚至通过令牌刷新机制长期控制。此漏洞将Android系统原本的应用间隔离能力直接绕过,属于设计缺陷与配置缺失叠加的典型安全事件。
技术原理解析
在Android开发实践中,调试标志(android:debuggable等)用于在开发阶段打开日志输出、测试接口等附加功能。这些标志应在编译发布版(release build)时被严格清除。然而,微软在生成Microsoft 365应用的Google Play商店版本时遗漏了这一步骤,导致应用内用于账户令牌请求的组件对设备上所有进程开放。任意具备基本Android API调用能力的应用都能通过Intent或Binder等IPC机制直接触发令牌请求流程,并且不会弹出用户确认对话框。
这种漏洞不同于传统的网络钓鱼或中间人攻击,它依赖于设备本地已安装的恶意软件。攻击者可能会通过社工手段诱导用户安装看似无害的应用(如壁纸工具、手电筒应用),一旦安装成功,即可在后台静默获取Microsoft 365令牌。由于攻击过程完全在本地完成,传统网络防火墙和身份感知解决方案对其失效。
IT团队应对措施
对于企业IT管理员,建议立即执行以下操作:第一,通过移动设备管理(MDM)系统或端点保护平台,确认所有受管理设备上的Microsoft 365安卓应用均已升级至5月12日补丁后的版本(具体版本号可查阅微软安全公告)。第二,提醒员工从官方Play商店下载应用,并避免安装来源不明的APK文件。第三,审核组织中Microsoft 365账户的异常登录活动,特别是来自新设备或新位置的令牌请求。
对于普通用户,最简单有效的方式是确保“自动更新应用”功能已开启,并手动检查Microsoft 365系列应用的更新状态。同时,谨慎授予应用“安装未知应用”或“无障碍服务”等敏感权限,可有效降低被利用风险。
补丁有效性说明
据TechRepublic报道,微软于5月12日推出的安全更新已针对六个受影响应用分别修复了调试标志问题,并增加了令牌请求的签名验证机制。该补丁生效后,仅有经过正确签名的Microsoft应用才能触发令牌流程,外部恶意应用将无法再利用此接口。安全研究人员建议用户无需过度恐慌,但仍需尽快完成升级。
值得注意的是,此次事件再次暴露了大型软件开发中“调试代码被带入生产环境”这一常见疏漏。类似案例在Facebook、Uber等公司也曾出现,提醒所有开发团队应将静态代码分析和发布前清单检查列为上架前必经流程。
名词解释与规格科普
令牌(Token):在OAuth 2.0认证框架中,令牌是服务端签发的一段加密字符串,用于替代用户名和密码进行接口访问授权。它具有时效性和作用域限制,但一旦泄露,攻击者即可在有效期内完全接管用户授权会话。
调试标志(Debug Flag):Android应用在AndroidManifest.xml中通过
android:debuggable属性控制是否开启调试模式。发布版中若未设为false,则任何进程均可附加调试器或调用私有API,是常见安全风险之一。
本文参考来源:TechRepublic
微信扫描下方的二维码阅读本文
