SECURITY·중요도 8·2026. 06. 03.·The Hacker News

Microsoft 365 Android Apps Let Any App Steal Account Tokens via Leftover Debug Flag

── KO ──────────────────

Microsoft 365 Android 앱의 디버그 플래그가 계정 토큰 유출을 초래했습니다.

여러 Microsoft 365 Android 앱에서 남겨진 개발 플래그가 계정 토큰 공유를 제한하는 확인을 비활성화했습니다. 이로 인해 같은 스마트폰에 있는 다른 앱이 로그인한 사용자의 토큰을 요청할 수 있어, 사용자의 이메일 확인, 파일 열기, 캘린더 조회, 메시지 전송 등이 가능해집니다. 비밀번호나 로그인 화면, 권한 요청 없이 이 모든 액세스가 이루어질 수 있는 심각한 보안 문제입니다.


── EN ──────────────────

A debug flag in Microsoft 365 Android apps allows any app to steal account tokens.

A development flag left on in several Microsoft 365 Android apps has disabled the checks limiting account-token sharing to trusted Microsoft apps. This vulnerability allows any app on the same phone to request the signed-in user's token, enabling access to read emails, open files, browse calendars, and send messages without requiring a password, login screen, or permission prompts. This poses a significant security risk to users.

원문 보기 →목록으로