Sicherheitslücke in Microsoft-Apps für Android entdeckt

Sicherheitsforscher von Enclave haben eine schwerwiegende Sicherheitslücke in mehreren Microsoft-365-Apps für Android entdeckt. Diese Schwachstelle betrifft unter anderem Microsoft Word, Excel, PowerPoint, OneNote, Microsoft 365 Copilot und Microsoft Loop. Die Entdeckung könnte Milliarden von Nutzern gefährden, da Angreifer unbemerkt auf die Kontoinformationen zugreifen können. Die Schwachstelle ermöglicht es jeder anderen auf demselben Android-Gerät installierten App, auf das Token eines Microsoft-365-Kontos zuzugreifen. Dies bedeutet, dass ein Angreifer, der eine eigene App auf dem Gerät des Nutzers platziert, als das angemeldete Konto agieren kann.

Dadurch könnten sensible Daten wie Kontakte, Chatverläufe und E-Mails kompromittiert werden. Enclave erklärt, dass die Sicherheitslücke auf einer Funktion basiert, die die Anmeldungen bei den Microsoft-Apps erleichtern sollte. Ein Flag namens setIsDebugMode in den Apps erlaubte den Zugriff auf das Account-Token, das bei der Anmeldung erstellt wurde. Ein Fehler in dieser Implementierung führte dazu, dass alle Apps auf dem Gerät Zugriff auf das Token hatten, was die Sicherheitslage erheblich verschlechterte. Ein potenzieller Angreifer könnte diese Schwachstelle ausnutzen, um Phishing-Versuche durchzuführen oder Konten zu übernehmen.

Die Möglichkeit, unbemerkt auf persönliche und geschäftliche Daten zuzugreifen, stellt ein erhebliches Risiko dar, insbesondere für Nutzer, die mit einem Arbeitsaccount angemeldet sind. Microsoft hat die Sicherheitslücke bereits behoben und entsprechende Updates seit dem letzten Patch-Day am 12. Mai 2026 bereitgestellt. Nutzer sind dringend aufgefordert, ihre betroffenen Anwendungen zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Um sicherzustellen, dass die neuesten Sicherheitsupdates installiert sind, sollten Nutzer auf ihren Android-Geräten überprüfen, ob sie die aktuellsten Versionen von Word, PowerPoint, Excel, Microsoft 365 Copilot, OneNote oder Microsoft Loop verwenden.

Falls nicht, ist eine Aktualisierung über den Google Play Store erforderlich. Die Sicherheitsforscher von Enclave haben betont, dass die Entdeckung dieser Schwachstelle die Notwendigkeit unterstreicht, Sicherheitspraktiken in der Softwareentwicklung zu verbessern. Die Verwendung von Flags wie setIsDebugMode sollte in produktiven Anwendungen vermieden werden, um ähnliche Sicherheitsrisiken in der Zukunft zu verhindern. Die Sicherheitslücke wurde unter der CVE-Nummer CVE-2026-1234 registriert.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) betrifft diese Schwachstelle rund 50.000 Systeme in Deutschland. Nutzer sollten daher umgehend handeln, um ihre Konten zu schützen. Microsoft hat angekündigt, dass die Updates für alle Nutzer bis Ende Juni 2026 vollständig ausgerollt werden sollen. Die Sicherheitslage bleibt angespannt, und Nutzer sollten wachsam bleiben, um ihre Daten zu schützen.