Eine einzige Codezeile, die nie in einen Release-Build gehört hätte: setIsDebugMode(true) in einem gemeinsamen Microsoft-SDK setzte den Schutzmechanismus außer Kraft, der verhindert, dass fremde Apps an FOCI-Refresh-Tokens gelangen. Das Ergebnis — Word, Excel, PowerPoint, Microsoft 365 Copilot, Loop und OneNote für Android gaben ihre Token an jede beliebige andere App auf dem Gerät weiter, ohne Passwort, ohne Berechtigungs-Dialog. Die Sicherheitsforscher Yanir Tsarimi und Ofek Levin von Enclave haben die Schwachstellen als „FlagLeft“ veröffentlicht; Microsoft hat am 12. Mai 2026 gepatcht.
Was mit FOCI-Tokens möglich ist — und warum das kein theoretisches Risiko ist
FOCI steht für Family of Client IDs, Microsofts internem Mechanismus, der eigene Android-Apps Token untereinander teilen lässt, ohne jede App separat authentifizieren zu müssen. Praktisch für den Nutzer, solange ausschließlich echte Microsoft-Apps Tokens anfordern können. Das Debug-Flag setzte diese Überprüfung aus.
Tsarimi und Levin demonstrierten einen funktionierenden Proof-of-Concept: Eine nicht autorisierte Drittanbieter-App forderte die FOCI-Refresh-Tokens des angemeldeten Nutzers an — und bekam sie. Kein Passwort, kein Dialog, keine Nutzerinteraktion. Mit diesen langlebigen Tokens lassen sich Exchange-E-Mails lesen, SharePoint-Dateien abrufen, Kalendereinträge einsehen, Teams-Nachrichten abfragen.
Für alle, die M365 auf Mitarbeiter-Privatgeräten oder unmanaged Android-Telefonen freigeben: Das ist genau das Szenario, das MDM-Tools nicht zuverlässig abdecken. Ein Side-Load, ein Browser-Exploit oder eine manipulierte App aus einem inoffiziellen Store — und die M365-Token lagen offen.
Vier CVEs wurden am 12. Mai ausgestellt: CVE-2026-41100 (Copilot, CVSS 4.4), CVE-2026-41101 (Word, CVSS 7.1), CVE-2026-41102 (PowerPoint, CVSS 7.1) und CVE-2026-42832 (Excel, CVSS 7.7). Loop und OneNote sind ebenfalls gepatcht, bekamen keine separaten CVEs. Maßgebliche Versionsnummer für Word: Build 16.0.19822.20190 oder neuer.
Microsofts Klassifizierung und was davon zu halten ist
Microsoft hat die Lücken als „local spoofing flaws requiring pre-existing malware“ eingestuft — technisch korrekt, im Ton aber verharmlosend. Eine bereits installierte Schad-App ist kein unüberwindliches Einstiegs-Szenario. Wer mit Unternehmens-Konto auf dem Privatgerät arbeitet, hat statistisch Software aus Quellen außerhalb des Play Store. Die Lücke erfordert keinen Remote-Exploit — aber ein Angreifer, der es erst einmal auf das Gerät geschafft hatte, fand damit einen ungehinderten Weg zu allen M365-Daten.
Dass setIsDebugMode(true) überhaupt in sechs Production-Apps landen konnte — alle aus demselben SDK — wirft Fragen ans interne Code-Review auf. Wann das Flag ursprünglich gesetzt wurde, ist laut Enclave-Bericht nicht dokumentiert.
Wer M365 für Android auf Firmengeräten verwaltet, prüft am besten heute den Update-Stand — Word-Build 16.0.19822.20190 als Referenzmarke. Microsofts CVSS-4.4-Bewertung für Copilot passt zum Muster, mit dem Redmond Sicherheitsprobleme in eigenen Cloud-Diensten gerne kleiner rechnet als die Fachcommunity. Excel mit 7.7 ist ehrlicher — aber sechs Apps, ein SDK, ein vergessenes Flag: das soll ein „minor issue“ sein?
