Una vulnerabilità in Microsoft Authenticator sia per iOS per Android CVE-2026-26123) potrebbe causare la fuga dei codici di accesso monouso o dei deep link di autenticazione a un'app dannosa sullo stesso dispositivo.
I deep link sono URI (Uniform Resource Identifier) predefiniti che consentono l'accesso diretto a un'attività in un'applicazione web o mobile quando vengono cliccati. In termini semplici, sono link appositamente costruiti per aprire un'app e completare azioni come l'accesso.
Microsoft Authenticator è un'app mobile che genera codici monouso basati sul tempo e gestisce i link di accesso e i login basati su QR code per Microsoft e altri account. È ampiamente utilizzata per l'autenticazione a più fattori (MFA) sui telefoni personali, compresi i dispositivi BYOD (Bring Your Own Device) che proteggono l'accesso ai servizi aziendali e di produzione.
Questa vulnerabilità riguarda gli utenti che hanno installato Microsoft Authenticator su un dispositivo iOS Android . Affinché la vulnerabilità possa essere sfruttata, l'utente dovrebbe prima installare un'app dannosa sul proprio dispositivo e poi scegliere accidentalmente quell'app per gestire un deep link di accesso.
In tal caso, l'app dannosa riceve il codice monouso o le informazioni di accesso e può potenzialmente utilizzarli per autenticarsi come vittima.
In caso di successo, un aggressore potrebbe:
- Completa le procedure di accesso ai servizi che riconoscono i codici Microsoft Authenticator.
- Accedere alle informazioni e ai servizi disponibili sull'account compromesso (e-mail, file, app cloud o sistemi di produzione in un contesto BYOD).
- Potenzialmente passare ad altri account se anche questi sono protetti da codici forniti tramite Authenticator sullo stesso dispositivo.
Come stare al sicuro
La correzione per CVE-2026-26123 è già inclusa nelle versioni attuali, quindi l'installazione degli aggiornamenti è la misura di mitigazione più efficace.
- Su iOS: apri l'App Store. Tocca il pulsante Il mio account o la tua foto nella parte superiore dello schermo. Scorri verso il basso per visualizzare gli aggiornamenti in sospeso e le note di rilascio. Tocca Aggiorna accanto a un'app per aggiornare solo quella app oppure tocca Aggiorna tutto.
- Su Android: apri l'app Google Play Store. In alto a destra, tocca l'icona del profilo. ToccaGestisci app e dispositivo. In "Aggiornamenti disponibili", toccaVedi dettagli. Accanto all'app che desideri aggiornare, toccaAggiorna. Per aggiornare tutte le app contemporaneamente, toccaAggiorna tutto.
Nota: se il produttore del dispositivo ha implementato un metodo diverso per applicare gli aggiornamenti delle app, i passaggi potrebbero variare leggermente.
Se non è possibile aggiornare temporaneamente l'app, evitare di installare nuove app che richiedono la gestione di collegamenti di autenticazione, accessi basati su QR o flussi di accesso da web ad app.
Quando si eseguono scansioni di codici QR o si toccano collegamenti di accesso, verificare che il gestore sia Microsoft Authenticator o un'altra app attendibile e non un'app sconosciuta, installata di recente o comunque sospetta.
Se possibile, utilizza opzioni MFA alternative di cui ti fidi già (come l'autenticazione integrata nel tuo gestore di password o soluzioni specifiche della piattaforma come le funzionalità password di Apple) fino a quando non potrai applicare l'aggiornamento.
Utilizza una protezione anti-malware per i tuoi dispositivi mobili che possa aiutarti a rilevare le app dannose.
I truffatori sanno più cose su di te di quanto tu creda.
Malwarebytes Mobile Security tiMobile Security da phishing, SMS truffaldini, siti dannosi e altro ancora. Con la funzione Scam Guard basata sull'intelligenza artificiale integrata e attiva in tempo reale.
