Chỉ một dòng code sai khiến hàng tỷ ứng dụng Microsoft trên Android bị lộ token truy cập

Sáu ứng dụng Microsoft 365 trên Android vừa được phát hiện chứa một lỗ hổng bảo mật nghiêm trọng, có thể gây ảnh hưởng đến hàng tỷ lượt cài đặt. Nguyên nhân của sự việc không phải là một mã độc phức tạp, mà đơn giản là một dòng code debug bị bỏ quên trong phiên bản chính thức.

Lỗ hổng bảo mật trong ứng dụng Microsoft trên Android

Các nhà nghiên cứu bảo mật tại Enclave đã phát hiện ra rằng các ứng dụng phổ biến như Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop và OneNote trên Android đều bị ảnh hưởng bởi cùng một sai sót. Cụ thể, các nhà phát triển đã vô tình để lại cờ debug (debug flag) set IsDebugMode(true) trong mã nguồn sản phẩm.

Cơ chế hoạt động của lỗ hổng

Mục đích của Microsoft khi thiết kế hệ thống chia sẻ token là để tạo sự thuận tiện cho người dùng. Token truy cập được truyền giữa các ứng dụng của Microsoft trên cùng một thiết bị để người dùng không phải đăng nhập lại nhiều lần. Tuy nhiên, cơ chế bảo vệ được thiết kế để đảm bảo chỉ các ứng dụng uy tín của Microsoft mới nhận được token này.

Việc bật chế độ debug trong bản sản xuất đã thay đổi hành vi của tính năng này. Theo Enclave, khi chế độ debug được kích hoạt, lớp bảo vệ ngăn chặn các ứng dụng không đáng tin cậy nhận token đã bị bỏ qua.

"Với chế độ debug được bật, lớp bảo vệ lẽ ra phải chặn các ứng dụng không tin cậy nhận token đã bị bỏ qua," Enclave giải thích trong báo cáo của mình.

Hậu quả là bất kỳ ứng dụng Android nào yêu cầu token truy cập Microsoft đều có thể nhận được nó, thay vì chỉ giới hạn trong hệ sinh thái các ứng dụng của Microsoft.

Biểu tượng bảo mật

Khai thác dễ dàng như viết 15 dòng code

Yanir Tsarimi, đồng sáng lập và CPO của Enclave, cho biết khai thác lỗ hổng này cực kỳ đơn giản. Một kẻ tấn công chỉ cần viết một đoạn mã khoảng 15 dòng để yêu cầu quyền truy cập vào ứng dụng MS và token sẽ tự động được cấp.

Một kịch bản tấn công điển hình có thể diễn ra dưới dạng một cuộc tấn công chuỗi cung ứng. Ví dụ, một nhà phát triển game di động có 10.000 người dùng có thể chèn mã độc vào bản cập nhật tự động của ứng dụng. Khi người dùng cài đặt bản cập nhật, mã độc này sẽ âm thầm yêu cầu token từ các ứng dụng Microsoft trên thiết bị và gửi lại cho kẻ tấn công.

Người dùng nạn nhân sẽ không thấy bất kỳ thông báo hay hoạt động bất thường nào, nhưng tài khoản Microsoft của họ đã bị xâm phạm.

Hậu quả và khắc phục

Các token bị lộ là loại Microsoft FOCI, có thể được sử dụng và làm mới trong thời gian dài mà không bị phát hiện. Kẻ tấn công có thể sử dụng chúng để đọc email, truy cập tệp tin, tài liệu, lịch trình, thậm chí sửa đổi dữ liệu hoặc gửi thông điệp giả mạo.

Enclave đã báo cáo vấn đề này cho Microsoft và tất cả các lỗ hổng đã được xác nhận. Microsoft đã vá các lỗi này và cấp các mã CVE bao gồm CVE-2026-41100, CVE-2026-41101 và CVE-2026-41102 vào ngày 12 tháng 5. Các bản vá đã được phân phối thông qua cơ chế Patch Tuesday và Google Play Store.

Hiện tại, người dùng Android đã được an toàn nếu họ đã cập nhật ứng dụng lên phiên bản mới nhất. Tuy nhiên, sự việc này đặt ra câu hỏi lớn về quy trình kiểm soát chất lượng và bảo mật trong quá trình phát triển phần mềm, khi một cài đặt phát triển có thể dễ dàng lọt vào môi trường sản xuất của những ứng dụng phổ biến nhất thế giới.