Microsoft 365 Android -sovelluksissa oli kehitysversioista jäänyt debug-lippu, jonka takia mikä tahansa sovellus pystyi kaappaamaan käyttäjän kirjautumistokeneita.
Microsoftin Android-sovellusten vakavassa haavoittuvuudessa kehitysversioista jäänyt debug-lippu poisti turvallisen token-jaon rajoitukset. Normaalitilanteessa vain luotetut Microsoft-sovellukset voivat jakaa kirjautumistokeneita keskenään, mutta tämän virheen takia mikä tahansa puhelimeen asennettu sovellus pystyi pyytämään ja saamaan tokeneita.
Haavoittuvuus mahdollisti täydellisen pääsyn käyttäjän Microsoft 365 -tiliin ilman salasanaa, kirjautumisnäyttöä tai lupakysymyksiä. Hyökkääjäsovellus pystyi lukemaan sähköposteja, avaamaan tiedostoja, selaamaan kalenteria ja lähettämään viestejä käyttäjän nimissä. Käytännössä mikä tahansa puhelimessa oleva sovellus saattoi päästä käsiksi yrityksen arkaluontoisiin tietoihin.
Kyseessä on erityisen vakava riski yrityskäytössä, jossa työntekijöiden puhelimet sisältävät usein kymmeniä eri sovelluksia. Vaikka sovellukset eivät näyttäisi tarvitsevan erityisiä käyttöoikeuksia asennuksen yhteydessä, ne pystyivät silti kaappaamaan yritystilit täysin huomaamattomasti taustalla.
Microsoft on korjannut haavoittuvuuden päivittämällä sovelluksiaan kesäkuussa 2026. IT-hallinnon tulisi varmistaa että kaikki organisaation Microsoft 365 Android -sovellukset on päivitetty uusimpiin versioihin välittömästi.
Tärkeimmät pointit
- Debug-lippu jäi päälle Microsoft 365 Android -sovelluksiin tuotantoversiossa
- Mikä tahansa sovellus pystyi kaappaamaan kirjautumistokeneita ilman lupakysymyksiä
- Tokeneilla täysi pääsy sähköpostiin, tiedostoihin, kalenteriin ja viesteihin
- Ei vaatinut salasanaa, kirjautumista tai erityisiä käyttöoikeuksia
- Microsoft korjasi haavoittuvuuden sovelluspäivityksillä kesäkuussa 2026
- Erityisen vakava riski yrityksissä joissa lukuisia sovelluksia samassa laitteessa
Lähde: The Hacker News — alkuperäinen artikkeli julkaistu 3.6.2026
