An ninh mạng

Lỗ hổng trong ứng dụng Microsoft 365 trên Android cho phép đánh cắp token tài khoản

Một lỗi cấu hình debug bị bỏ quên trong các ứng dụng Microsoft 365 trên Android đã vô tình cho phép các ứng dụng độc hại đánh cắp token xác thực của người dùng mà không cần quyền truy cập đặc...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
5 0

Các chuyên gia bảo mật từ Enclave vừa phát hiện một lỗ hổng nghiêm trọng trong các ứng dụng Microsoft 365 trên nền tảng Android. Nguyên nhân xuất phát từ một flag (cờ) cấu hình debug vẫn được bật trong phiên bản phát hành chính thức (production), làm vô hiệu hóa cơ chế kiểm tra bảo mật vốn dùng để giới hạn việc chia sẻ token tài khoản giữa các ứng dụng đáng tin cậy.

Lỗ hổng này ảnh hưởng đến hàng loạt ứng dụng phổ biến bao gồm: Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop và OneNote. Theo phân tích, lỗi nằm ở một SDK dùng chung, nơi dòng lệnh setIsDebugMode(true) đã không được loại bỏ trước khi xuất bản ứng dụng.

Cơ chế tấn công

Thông thường, các ứng dụng Microsoft 365 chia sẻ quyền truy cập tài khoản để người dùng không phải đăng nhập nhiều lần. Cơ chế này yêu cầu xác thực nguồn gốc ứng dụng trước khi cấp quyền. Tuy nhiên, do flag debug bị bật, bất kỳ ứng dụng độc hại nào được cài đặt trên cùng thiết bị cũng có thể yêu cầu và nhận được FOCI token (Family of Client IDs) của người dùng.

Với token này, kẻ tấn công có thể truy cập email, tệp tin, lịch và gửi tin nhắn thay mặt người dùng mà không cần mật khẩu hay bất kỳ lời nhắc cấp quyền nào. Microsoft đã phân loại đây là các lỗ hổng giả mạo (spoofing) do kiểm soát truy cập không đúng cách (CWE-284) và đã gán các mã CVE tương ứng như CVE-2026-41100, CVE-2026-41101, CVE-2026-41102 và CVE-2026-42832.

Khuyến nghị cho người dùng và quản trị viên

Hiện tại, Microsoft đã phát hành các bản vá thông qua Google Play. Người dùng cá nhân cần cập nhật ngay các ứng dụng nêu trên lên phiên bản mới nhất (phiên bản Word 16.0.19822.20190 trở lên). Đối với các tổ chức quản lý thiết bị di động (MDM), quản trị viên cần kiểm tra và ép buộc cập nhật cho toàn bộ thiết bị trong hệ thống.

Đáng chú ý, việc cập nhật ứng dụng chỉ giúp đóng lỗ hổng, không thể thu hồi các token đã bị đánh cắp trước đó. Do đó, nếu nghi ngờ thiết bị đã bị xâm nhập, người dùng nên thực hiện thu hồi các phiên đăng nhập (refresh tokens) và yêu cầu đăng nhập lại để đảm bảo an toàn tuyệt đối cho tài khoản.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept