Microsoft 365 su Android finisce al centro di un caso sicurezza delicato: una vulnerabilità chiamata FlagLeft ha coinvolto sei app Microsoft per Android, tra cui Word, Excel, PowerPoint, Copilot, Loop e OneNote. Il problema nasceva da un flag di debug rimasto attivo in produzione. Microsoft ha già rilasciato le correzioni, quindi il consiglio è semplice: aggiornare subito tutte le app coinvolte.

Microsoft 365 Android: cosa è successo

Microsoft 365 su Android ha corretto una vulnerabilità che poteva trasformare alcune app della suite in un canale silenzioso per ottenere token account.

Il bug è stato individuato dai ricercatori di Enclave e riguarda un meccanismo pensato per semplificare l’accesso tra app Microsoft. In pratica, se l’utente entra in Word, non deve rifare il login anche in Excel o PowerPoint.

Il problema nasceva nel controllo di autorizzazione. Una qualsiasi app installata sullo stesso dispositivo Android poteva richiedere token Microsoft e riceverli, senza mostrare avvisi, richieste di permesso o schermate di login.

Per l’utente non compariva nulla di strano, per un attaccante, invece, quei token potevano aprire l’accesso a dati legati all’account già attivo.

FlagLeft, il flag dimenticato in produzione

La vulnerabilità è stata chiamata FlagLeft perché nasceva da una riga di codice lasciata attiva: setIsDebugMode(true).

Quel flag avrebbe dovuto restare fuori dalle build di produzione. Invece, risultava presente in sei app Android: Word, PowerPoint, Excel, Microsoft 365 Copilot, Microsoft Loop e OneNote.

Con il debug mode attivo, il controllo che doveva bloccare app non autorizzate veniva saltato. Di conseguenza, un’app terza poteva comportarsi come se fosse una componente fidata dell’ecosistema Microsoft.

È il classico errore piccolo con effetto enorme: una singola impostazione rimasta al posto sbagliato ha alterato il comportamento di un sistema usato per proteggere l’accesso all’account.

Microsoft 365 su Android e il rischio token

I token coinvolti non sono semplici stringhe temporanee: i ricercatori parlano di token FOCI, usati per condividere l’accesso tra app della stessa famiglia.

Questo meccanismo serve a rendere più fluido il login. Però, se finisce nelle mani sbagliate, può diventare pericoloso perché permette accessi prolungati e rinnovabili.

Un’app malevola avrebbe potuto leggere email, aprire file, accedere a documenti, vedere calendari, inviare comunicazioni o modificare contenuti, in base ai permessi esposti dal contesto dell’app.

Il traffico avrebbe potuto sembrare normale. Proprio per questo il rischio era più difficile da notare, soprattutto su dispositivi aziendali con molte app installate.

Le app coinvolte e le patch Microsoft

Microsoft ha confermato e corretto le vulnerabilità dopo la segnalazione dei ricercatori. Le correzioni sono arrivate il 12 maggio 2026, con i codici CVE-2026-41100, CVE-2026-41101 e CVE-2026-41102.

Secondo le ricostruzioni tecniche, la patch per PowerPoint su Android è passata anche da una build aggiornata su Google Play Store, mentre gli altri fix sono stati distribuiti tramite il ciclo di aggiornamenti Microsoft.

Chi usa queste app su Android deve quindi controllare subito gli aggiornamenti dal Play Store. La lista da verificare include Word, Excel, PowerPoint, Microsoft 365 Copilot, Microsoft Loop e OneNote.

Per gli utenti aziendali, il passaggio dovrebbe coinvolgere anche i team IT. Su dispositivi gestiti via MDM, conviene verificare che le versioni corrette siano già distribuite a tutti.

Perché il caso FlagLeft è importante

FlagLeft mostra quanto sia delicato il confine tra comodità e sicurezza. Il single sign-on tra app è utile, perché evita login continui e rende l’esperienza più fluida.

Allo stesso tempo, quel meccanismo deve distinguere con precisione tra app fidate e app sconosciute. Se quel controllo salta, l’intero sistema diventa vulnerabile.

Il caso interessa anche chi non usa ogni giorno le app Office su Android. Smartphone e tablet sono ormai dispositivi di lavoro completi, con email, documenti, chat, file aziendali e account personali nello stesso spazio.

Per questo gli aggiornamenti delle app non vanno trattati come dettagli secondari. In situazioni simili, aggiornare rapidamente può chiudere una porta che l’utente non vede, ma che un’app malevola può provare a sfruttare.

Cosa fare adesso

La prima cosa da fare è aprire Google Play Store e aggiornare tutte le app Microsoft 365 installate.

In ambito personale, può essere utile controllare anche le app meno usate. Loop o OneNote, per esempio, possono restare installate per mesi senza essere aperte spesso.

In ambito aziendale, invece, gli amministratori dovrebbero forzare gli update, controllare la distribuzione delle versioni corrette e valutare eventuali attività anomale sui token OAuth.

Microsoft ha già chiuso il problema, però la vicenda resta un promemoria utile: anche le app più diffuse possono avere errori di configurazione, e su Android una sola app malevola installata accanto a strumenti di lavoro può diventare un rischio serio.