CEVIU Logo
Voltar

Uma linha de código expôs bilhões de downloads de apps Android da Microsoft

Aprofundamento CEVIU

Aprofundamento

A falha 'FlagLeft' não foi um erro de codificação isolado, mas uma quebra sistêmica no modelo de segurança de tokens FOCI da Microsoft: uma única linha setIsDebugMode(true) desabilitou restrições de compartilhamento de credenciais entre apps no mesmo dispositivo Android. Isso transformou o mecanismo projetado para facilitar login único em uma porta aberta para qualquer app malicioso, sem permissão, sem prompt, sem rastreio. Diferente de tokens OAuth clássicos, os tokens FOCI são persistentes, reutilizáveis e não geram alertas de acesso suspeito, o que os torna ideais para exfiltração silenciosa de e-mails, OneDrive, calendário e até histórico de conversas do Copilot.

O detalhe técnico crítico é que a flag estava ativa em um SDK compartilhado usado por seis apps, Word, Excel, PowerPoint, Copilot, Loop e OneNote, mas *não* no Teams. Essa discrepância mostra que o problema não era de arquitetura, mas de controle de qualidade no ciclo de build: o modo debug foi esquecido nas versões de produção, não removido intencionalmente. A Microsoft corrigiu em 12/05/2026, mas a falha só foi divulgada publicamente em 04/06/2026, após confirmação de que não houve exploração ativa.

O que mudou

Na cobertura anterior do CEVIU sobre o Copilot Cowork (02/05/2026), apontamos riscos de exfiltração via e-mail e links do OneDrive, uma ameaça baseada em engenharia social e injeção de prompt. Agora, com a FlagLeft, o risco mudou de natureza: não depende de interação do usuário, nem de configuração errada, nem de terceiros. É uma vulnerabilidade de autenticação nativa, presente em bilhões de instalações, explorável com 15 linhas de código e capaz de roubar tokens sem deixar rastro. Também é a primeira vez que vemos um SDK Microsoft com depuração ativada em produção afetando diretamente a cadeia de confiança de tokens FOCI, algo que não apareceu nas falhas anteriores do VSCode ou npm, que envolviam integrações externas ou pacotes maliciosos.

Por que isso importa

Empresas que adotaram MDMs para gerenciar dispositivos Android devem revisar imediatamente se aplicativos Microsoft estão na versão mínima 16.0.19822.20190, pois atualizações via Play Store não garantem correção automática em ambientes corporativos fechados. Mais grave: como tokens FOCI persistem após atualização, apenas reinstalar o app não resolve. É preciso revogar manualmente os tokens de atualização nas configurações de segurança da conta Microsoft ou forçar novo login. Falhas assim não são 'bugs menores': elas contornam toda a camada de proteção de senhas, MFA e políticas de sessão, reduzindo a segurança de identidade a uma linha de código esquecida.

Linha do tempo

  1. CEVIU reporta risco de exfiltração de dados via Microsoft Copilot Cowork usando emails e links do OneDrive

  2. CEVIU detalha falha no VSCode que permite roubo de tokens GitHub com um clique

  3. Divulgação pública da falha FlagLeft em seis apps Android da Microsoft, com exposição de tokens FOCI

Perguntas frequentes

O que é um token FOCI e por que ele é mais perigoso que um token OAuth comum?

FOCI (Family of Client IDs) é um padrão interno da Microsoft para tokens de longa duração, reutilizáveis e atualizáveis. Diferente de tokens OAuth que expiram rápido e exigem consentimento explícito, os FOCI operam em segundo plano, sem geração de logs de acesso anômalos. Um atacante com um token FOCI pode acessar Outlook, OneDrive, SharePoint e Copilot indefinidamente, sem precisar de senha, sem acionar alertas de MFA e sem disparar eventos de login suspeitos.

Meu dispositivo está seguro se já atualizei os apps pela Play Store?

Atualizar resolve a exposição futura, mas não elimina o risco passado. Se seu dispositivo rodou versões vulneráveis junto com apps não confiáveis (como ferramentas de otimização, clonadores ou apps de terceiros com permissão de uso de outros apps), o token FOCI pode ter sido roubado. Recomenda-se revogar os tokens de atualização na página de segurança da sua conta Microsoft e fazer novo login em todos os apps Microsoft.

Por que o Microsoft Teams não foi afetado, se usa o mesmo SDK?

A equipe do Teams definiu corretamente setIsDebugMode(false) nas versões de produção, enquanto as equipes dos outros seis apps deixaram o valor como true. Isso revela uma falha de processo, ausência de checklist de build para desativação de flags de depuração, e não um problema técnico intrínseco ao SDK.

Essa falha tem relação com os ataques de phishing por device code que o CEVIU reportou no mesmo dia?

Sim, mas por outro ângulo. Enquanto o phishing por device code explora o fluxo de autenticação legítimo para capturar tokens com consentimento da vítima, a FlagLeft ignora completamente esse fluxo. Ambos visam o mesmo alvo, tokens de acesso à conta Microsoft, mas com vetores opostos: um depende de engenharia social, o outro de falha de engenharia de software.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
04 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser