Una vulnerabilità in Microsoft Authenticator sia per iOS per Android CVE-2026-26123) potrebbe causare la fuga dei codici di accesso monouso o dei deep link di autenticazione a un'app dannosa sullo stesso dispositivo.
I deep link sono URI (Uniform Resource Identifier) predefiniti che consentono l'accesso diretto a un'attività in un'applicazione web o mobile quando vengono cliccati. In termini semplici, sono link appositamente costruiti per aprire un'app e completare azioni come l'accesso.
Microsoft Authenticator è un'app mobile che genera codici monouso basati sul tempo e gestisce i link di accesso e i login basati su QR code per Microsoft e altri account. È ampiamente utilizzata per l'autenticazione a più fattori (MFA) sui telefoni personali, compresi i dispositivi BYOD (Bring Your Own Device) che proteggono l'accesso ai servizi aziendali e di produzione.
Questa vulnerabilità riguarda gli utenti che hanno installato Microsoft Authenticator su un Android iOS Android . Affinché la vulnerabilità possa essere sfruttata, l'utente dovrebbe prima installare un'app dannosa sul proprio dispositivo e poi selezionare accidentalmente tale app per gestire un deep link di accesso.
In tal caso, l'app dannosa riceve il codice monouso o le informazioni di accesso e può potenzialmente utilizzarli per autenticarsi come vittima.
In caso di successo, un aggressore potrebbe:
- Completa le procedure di accesso ai servizi che riconoscono i codici Microsoft Authenticator.
- Accedere alle informazioni e ai servizi disponibili sull'account compromesso (e-mail, file, app cloud o sistemi di produzione in un contesto BYOD).
- Potenzialmente passare ad altri account se anche questi sono protetti da codici forniti tramite Authenticator sullo stesso dispositivo.
Come stare al sicuro
La correzione per CVE-2026-26123 è già inclusa nelle versioni attuali, quindi l'installazione degli aggiornamenti è la misura di mitigazione più efficace.
- Su iOS: apri l'App Store. Tocca il pulsante Il mio account o la tua foto nella parte superiore dello schermo. Scorri verso il basso per visualizzare gli aggiornamenti in sospeso e le note di rilascio. Tocca Aggiorna accanto a un'app per aggiornare solo quella app oppure tocca Aggiorna tutto.
- Su Android: apri l'app Google Play Store. In alto a destra, tocca l'icona del profilo. ToccaGestisci app e dispositivo. In "Aggiornamenti disponibili", toccaVedi dettagli. Accanto all'app che desideri aggiornare, toccaAggiorna. Per aggiornare tutte le app contemporaneamente, toccaAggiorna tutto.
Nota: se il produttore del dispositivo ha implementato un metodo diverso per applicare gli aggiornamenti delle app, i passaggi potrebbero variare leggermente.
Se non è possibile aggiornare temporaneamente l'app, evitare di installare nuove app che richiedono la gestione di collegamenti di autenticazione, accessi basati su QR o flussi di accesso da web ad app.
Quando si eseguono scansioni di codici QR o si toccano collegamenti di accesso, verificare che il gestore sia Microsoft Authenticator o un'altra app attendibile e non un'app sconosciuta, installata di recente o comunque sospetta.
Se possibile, utilizza opzioni MFA alternative di cui ti fidi già (come l'autenticazione integrata nel tuo gestore di password o soluzioni specifiche della piattaforma come le funzionalità password di Apple) fino a quando non potrai applicare l'aggiornamento.
Utilizza una protezione anti-malware per i tuoi dispositivi mobili che possa aiutarti a rilevare le app dannose.
Non ci limitiamo a fornire informazioni sulla sicurezza del telefono, ma le forniamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi mobili scaricando oggi stesso Malwarebytes per iOS e Malwarebytes per Android.
