Microsoft 365 finisce sotto i riflettori per una falla di sicurezza tutt’altro che banale, emersa dall’analisi condotta da Enclave e in particolare dal ricercatore Ofek Levin. Il problema riguarda la versione Android della suite e potrebbe coinvolgere miliardi di account che ogni giorno si affidano a queste applicazioni per lavorare, archiviare documenti e gestire la posta. Una vulnerabilità che, a guardarla bene, fa quasi sorridere per la sua semplicità.
Una riga di codice dimenticata che apre le porte ai dati
La falla porta un nome preciso, FlagLeft, e la cosa più sorprendente è proprio la sua origine. Non si tratta di un attacco sofisticato o di un buco architetturale complicato da spiegare. È una dimenticanza, punto. Il team di sviluppo avrebbe pubblicato le app senza disattivare un controllo legato al debug delle singole applicazioni, lasciando di fatto una porta socchiusa sui dati degli utenti.
Il dettaglio tecnico si riduce a una sola linea di codice: setIsDebugMode(true). Di solito serve agli sviluppatori per analizzare il comportamento di un’app durante i test. Quando però resta attiva nelle versioni pubbliche, il discorso cambia parecchio, perché permette di aggirare tutti i controlli pensati per proteggere le informazioni di chi usa il software. Una svista, insomma, ma con conseguenze potenzialmente pesanti.
Come funziona lo sfruttamento e quali app sono coinvolte
Per capire la portata del problema bisogna ragionare sul meccanismo dei token condivisi che Microsoft usa per semplificare la vita agli utenti. Funziona così: una volta fatto il login su Word, ad esempio, è possibile passare a Excel o a Copilot senza dover reinserire ogni volta le credenziali. Il sistema sfrutta le informazioni già confermate da una delle app per riconoscere automaticamente l’account. Comodo, certo, ma in presenza della modalità debug attiva diventa anche un punto debole.
Un malintenzionato, a quel punto, potrebbe costruire un’applicazione pensata apposta per copiare il token di autorizzazione generato da una delle app della suite. Con quel token in mano, l’accesso si estende a tutto il resto: email personali, eventi sul calendario, documenti salvati in cloud e molto altro ancora. Il tutto senza che venga mai mostrato un avviso, una richiesta di password o una verifica qualsiasi. In pratica, l’utente non si accorgerebbe di nulla.
Le applicazioni interessate, stando a quanto emerso, sono diverse: Microsoft Word, PowerPoint, Excel, OneNote, Microsoft Loop e Microsoft 365 Copilot. Resta fuori dalla lista Teams, che a quanto pare non ha la modalità debug attiva e quindi non risulta esposta allo stesso rischio.
La buona notizia è che Microsoft ha già rilasciato le patch correttive per chiudere la vulnerabilità. Il consiglio, a questo punto, è uno solo e piuttosto diretto: aggiornare quanto prima tutte le app installate sul proprio dispositivo Android, così da assicurarsi che la falla venga effettivamente tappata.