部落格

Microsoft 365

從一個 Debug 旗標看起:Microsoft 365 Android App 的帳號 Token 洩漏漏洞分析
AI觀點 Android安全 Microsoft 365

從一個 Debug 旗標看起:Microsoft 365 Android App 的帳號 Token 洩漏漏洞分析

此案例是典型的『低級配置錯誤導致高級權限崩潰』。雖然漏洞觸發條件需先安裝惡意 App(Local Spoofing),降低了遠端攻擊機率,但其對 FOCI Token 的管理疏忽將潛在風險推至最高等級。我評定此為嚴重的工程管理失職,因為在現代 CI/CD 流程中,硬編碼 Debug 旗標應在靜態分析階段就被攔截,除非該 SDK 的編譯流程存在結構性缺陷。