微软365六款安卓客户端曝高危漏洞，数十亿下载用户面临账号劫持风险

近日，安全领域曝出重大安全隐患，微软6款主流Microsoft 365安卓客户端存在严重同源安全漏洞。这批拥有数十亿次累计下载量的应用，让海量安卓设备深陷被入侵、账号被盗的安全风险中。
该漏洞由AI自动化漏洞挖掘安全厂商Enclave率先发现。相关专项研究报告原定于本周二正式对外披露，相关内容已独家授权行业权威媒体《SecurityWeek》首发。经核查，漏洞波及Word、PowerPoint、Excel、微软365 Copilot、Microsoft Loop以及OneNote六款安卓端正式应用。漏洞核心成因是应用正式发布版本的代码中，意外残留并开启了调试参数代码IsDebugMode (true)，使得仅适用于开发测试场景的调试模式，在面向普通用户的生产环境中被激活。据悉，微软Teams等其他全系安卓应用未启用该调试参数，因此不受本次漏洞影响。
据技术人员介绍，常规情况下，该调试标记仅会触发日志打印、后台调试输出等基础功能，不会产生安全威胁。但本次漏洞的核心危害在于，该调试开关篡改了微软账号令牌的共享校验机制。Enclave研究团队在报告中明确表示，调试模式开启后，系统原本拦截第三方非可信应用窃取账号令牌的安全验证逻辑被彻底绕过，安全防护机制形同虚设。
微软原本的产品安全设计为：同一设备内，微软旗下全系应用可实现账号凭证互通、免重复登录，自动同步访问令牌，以此提升用户使用便捷性。同时系统设置了严格的安全壁垒，严禁任何第三方安卓应用获取、调用微软账号令牌。而本次遗留的调试代码，直接破除了这一核心安全限制，任何第三方安卓程序只需发起对应请求，即可非法获取用户微软账号的访问令牌。
该漏洞的攻击利用门槛极低，几乎无技术壁垒。攻击者只需编写简短的权限请求代码，将其嵌入全新开发的APP，或是篡改正规应用安装包，再通过线上分发、版本更新等方式推送到用户设备，即可完成整套攻击流程。
Enclave公司联合创始人兼首席产品官亚尼尔・察里米对此解释道，攻击者仅需15行简易代码，就能向存在漏洞的微软应用发起权限请求，进而直接窃取账号令牌。整个攻击过程依托软件原生业务接口实现，操作简单、隐蔽性极强，普通人难以识别防范。
本次安全事故的核心问题并非微软账号令牌的分发逻辑存在缺陷，而是一行本应在上线前彻底清除的调试代码，直接导致了第三方应用拦截防护机制失效。仅仅一处细微的代码疏漏，就致使多款亿级下载体量的核心办公应用出现重大安全漏洞，波及海量终端用户。
官方披露了典型的实战攻击场景：例如拥有万名存量用户的手游开发者，可在游戏新版本更新包中植入漏洞利用代码。用户设备自动完成版本更新安装后，后台恶意代码会静默运行，主动向设备内的微软系列应用窃取账号令牌，并悄悄将数据回传至攻击者服务器。
整套攻击流程全程静默，无任何弹窗提示、无异常运行痕迹，用户完全无法察觉。攻击者成功窃取令牌后，即可实现对用户微软账号的远程接管，本质属于隐蔽性极强的供应链攻击方式。
测试结果显示，漏洞窃取的是微软FOCI长效令牌，该类令牌具备长期有效、可自动刷新的特性，难以被用户和安全设备察觉，滥用危害性极大。依托窃取的有效令牌，攻击者可全权操控用户微软账号下的所有资源，包括查看、篡改云端文档、查阅私密邮件与聊天记录、窃取日程信息等隐私数据，还能冒用用户身份发送消息、修改账号相关设置，造成隐私泄露、信息篡改、账号滥用等多重风险。目前，研究团队已成功在六款涉事应用上复现该漏洞，证实风险真实存在。
据悉，Enclave已第一时间将该安全隐患上报至微软安全响应中心（MSRC）。微软迅速完成漏洞核查与修复工作，并于5月12日正式分配三个专属CVE漏洞编号，分别为CVE-2026-41100、CVE-2026-41101、CVE-2026-41102。其中，对应PowerPoint的CVE-2026-41102漏洞已于当日单独推送谷歌应用商店更新包完成修复，其余多款应用的关联漏洞，均跟随微软周二常规补丁更新周期完成全面修复。
对于普通安卓用户而言，只需将Word、Excel、PowerPoint、Copilot、Loop、OneNote这六款应用更新至最新官方版本，即可彻底规避本次漏洞风险。
Enclave团队在总结本次安全事件时强调，虽然漏洞已完成上报、核验与全面修复，但此次事故暴露出微软应用上线审核机制的重大短板。本应严格隔离、禁止流入生产环境的调试配置参数，成功入驻多款主力办公应用，直接击穿了账号安全防护体系，凸显出企业软件上线校验流程存在严重疏漏，也为全球企业软件开发、版本审核、安全风控敲响了警钟。