Uma flag de desenvolvimento deixada ativada em builds de produção de seis aplicativos do Microsoft 365 para Android desativou a verificação que limita o compartilhamento de tokens de conta a apps confiáveis da Microsoft. O resultado: qualquer outro app no mesmo celular podia solicitar o token do usuário logado e obtê-lo — sem senha, sem tela de login, sem pedido de permissão. A falha, batizada de FlagLeft pela Enclave Security, foi corrigida no Patch Tuesday de maio de 2026.
Resumo: pontos-chave
- Seis apps afetados: Word, Excel, PowerPoint, Microsoft 365 Copilot, Loop e OneNote — bilhões de downloads combinados.
- Causa raiz: uma única linha
setIsDebugMode(true)deixada no código de produção. - Quatro CVEs emitidos: CVE-2026-41100 a CVE-2026-42832, com severidade de 4,4 a 7,7.
- Tokens FOCI vazados: refresh tokens de single sign-on que podem ser usados por longos períodos.
- Nenhuma evidência de exploração antes da correção, segundo a Microsoft.
Como a falha funciona
Os apps do Microsoft 365 compartilham acesso à conta de propósito: ao fazer login no Word, você não precisa autenticar de novo no PowerPoint. Essa transferência deveria verificar quem está pedindo o token e recusar qualquer app que não seja da própria Microsoft. A Enclave descobriu que a verificação estava sendo ignorada por causa de uma única linha esquecida no código: setIsDebugMode(true).
A falha residia em um SDK compartilhado da Microsoft, então o mesmo buraco apareceu em app após app. Os tokens entregues eram FOCI tokens — family refresh tokens que a Microsoft usa para single sign-on entre seus aplicativos. Eles podem ser renovados e reutilizados por longos períodos, e o tráfego resultante parece rotina nos logs corporativos. Do lado do usuário, nada visível acontecia.
A Enclave construiu uma prova de conceito funcional que puxava tokens através de um app de terceiros não verificado e lia e-mails com eles. A Microsoft classificou as falhas como spoofing local sob controle de acesso impróprio (CWE-284).
Apps e CVEs afetados
| App | CVE | CVSS |
|---|---|---|
| Microsoft 365 Copilot | CVE-2026-41100 | 4,4 |
| Word | CVE-2026-41101 | 7,1 |
| PowerPoint | CVE-2026-41102 | 7,1 |
| Excel | CVE-2026-42832 | 7,7 |
| Loop | Sem CVE separado | — |
| OneNote | Sem CVE separado | — |
O Teams enviava a mesma flag configurada como false e não foi afetado — o que a Enclave interpreta como um deslize pontual, não uma decisão de design. A build corrigida do Word para Android está listada como 16.0.19822.20190; versões anteriores são vulneráveis. Os demais apps receberam correção pelas mesmas atualizações do Google Play.
O perigo dos tokens FOCI
Os tokens FOCI são o mecanismo que permite single sign-on dentro do ecossistema Microsoft. Quando funcionam corretamente, são convenientes: faça login uma vez e acesse e-mail, arquivos, calendário e chat sem nova autenticação. O problema é que, uma vez vazados, esses tokens podem ser renovados indefinidamente e usados para acessar todos os serviços vinculados à conta — e-mail corporativo, OneDrive, Teams, SharePoint.
O tráfego gerado por um token roubado parece atividade legítima em logs de rede. Não há anomalia óbvia que dispare alertas em ferramentas de monitoramento padrão. Para um atacante, é o cenário ideal: acesso silencioso e duradouro a informações sensíveis sem precisar de senha ou MFA do usuário — similar ao que vimos quando um zero-day no VS Code permitia roubo de tokens GitHub em um clique.
Uma linha, seis apps bilionários
O episódio ilustra o risco de SDKs compartilhados em ecossistemas grandes. A linha setIsDebugMode(true) estava em um componente usado por todos os apps — e quando o componente tem uma falha, ela se propaga automaticamente. A Microsoft não é a primeira nem será a última a cometer esse tipo de erro. Em 2024, uma configuração incorreta no SDK de autenticação do Facebook expôs tokens de milhões de usuários Android por mecanismo semelhante.
A diferença aqui é a escala. Word, Excel e PowerPoint para Android têm juntos mais de 5 bilhões de downloads no Google Play. Mesmo que uma fração mínima dos usuários tenha apps maliciosos no mesmo dispositivo, o número absoluto de potenciais vítimas é enorme.
Risco real para o Brasil
O Brasil é um dos maiores mercados de Android do mundo. Segundo dados da StatCounter, mais de 80% dos acessos móveis no país vêm de dispositivos Android. O Microsoft 365 é amplamente utilizado em ambientes corporativos brasileiros — e o uso de apps móveis para acessar e-mail e documentos corporativos no celular pessoal ou da empresa é prática comum.
A combinação de alto uso de Android, ampla adoção do Microsoft 365 em empresas e o hábito brasileiro de instalar apps de fontes variadas (incluindo lojas alternativas e APKs diretos) cria um cenário de risco relevante — especialmente quando malware Android como serviço já tem o Brasil como alvo prioritário. Mesmo sem evidência de exploração ativa da falha FlagLeft, a janela de exposição existiu desde que os apps afetados foram publicados até o Patch Tuesday de maio de 2026.
O que fazer agora
- Atualize todos os apps do Microsoft 365 no Android pelo Google Play. A correção já está disponível.
- Confirme a versão do Word: deve ser 16.0.19822.20190 ou superior.
- Revogue refresh tokens antigos. A correção fecha o buraco, mas não mata tokens que um atacante já possa ter coletado. Para contas em dispositivos que rodaram builds antigas com apps não confiáveis, force um novo login em todos os dispositivos.
- Para equipes de TI: use MDM para empurrar as atualizações e confirmar que os dispositivos estão em builds corrigidas.
- Revise apps instalados nos dispositivos corporativos. A falha exige que um app malicioso esteja no mesmo dispositivo — reduzir a superfície de instalação diminui o risco.
A lição vai além da Microsoft. Flags de debug em produção são um erro clássico que continua acontecendo em SDKs das maiores empresas de tecnologia. O custo da falha — acesso irrestrito a contas corporativas em bilhões de dispositivos — mostra que processos de revisão de código precisam tratar configurações de build com o mesmo rigor que vulnerabilidades de segurança.