Luka w zabezpieczeniach aplikacji Microsoft Authenticator dla systemów iOS Android CVE-2026-26123) może spowodować wyciek jednorazowych kodów logowania lub głębokich linków uwierzytelniających do złośliwej aplikacji na tym samym urządzeniu.
Głębokie linki to predefiniowane identyfikatory URI (Uniform Resource Identifiers), które po kliknięciu umożliwiają bezpośredni dostęp do określonej czynności w aplikacji internetowej lub mobilnej. Mówiąc prościej, są to specjalnie skonstruowane linki służące do otwierania aplikacji i wykonywania czynności, takich jak logowanie.
Microsoft Authenticator to aplikacja mobilna, która generuje jednorazowe kody czasowe i obsługuje linki logowania oraz logowanie za pomocą kodów QR dla kont Microsoft i innych. Jest szeroko stosowana do uwierzytelniania wieloskładnikowego (MFA) na telefonach osobistych, w tym urządzeniach BYOD (Bring Your Own Device), które chronią dostęp do usług korporacyjnych i produkcyjnych.
Ta luka dotyczy użytkowników, którzy mają zainstalowaną aplikację Microsoft Authenticator na Android iOS Android . Aby luka mogła zostać wykorzystana, użytkownik musiałby najpierw zainstalować złośliwą aplikację na swoim urządzeniu, a następnie przypadkowo wybrać tę aplikację do obsługi głębokiego linku logowania.
W takim przypadku złośliwa aplikacja otrzymuje jednorazowy kod lub dane logowania i może potencjalnie wykorzystać je do uwierzytelnienia się jako ofiara.
W przypadku powodzenia atakujący mógłby:
- Kompletne procedury logowania do usług, które zaufały kodom Microsoft Authenticator.
- Uzyskaj dostęp do informacji i usług dostępnych na zaatakowanym koncie (poczta elektroniczna, pliki, aplikacje w chmurze lub systemy produkcyjne w kontekście BYOD).
- Możliwe jest przełączenie się na dodatkowe konta, jeśli są one również chronione kodami dostarczanymi przez Authenticator na tym samym urządzeniu.
Jak zachować bezpieczeństwo
Poprawka dla CVE-2026-26123 jest już zawarta w aktualnych wersjach, więc instalacja aktualizacji jest najskuteczniejszym sposobem zapobiegania.
- W iOS: Otwórz App Store. Naciśnij przycisk Moje konto lub swoje zdjęcie u góry ekranu. Przewiń w dół, aby wyświetlić oczekujące aktualizacje i informacje o wydaniu. Naciśnij przycisk Aktualizuj obok aplikacji, aby zaktualizować tylko tę aplikację, lub naciśnij przycisk Aktualizuj wszystko.
- W Android: Otwórz aplikację Sklep Google Play. W prawym górnym rogu dotknij ikony profilu. Dotknijopcji Zarządzaj aplikacjami i urządzeniami. W sekcji „Dostępne aktualizacje” dotknijopcji Zobacz szczegóły. Obok aplikacji, którą chcesz zaktualizować, dotknijopcji Aktualizuj. Aby zaktualizować wszystkie aplikacje jednocześnie, dotknijopcji Aktualizuj wszystko.
Uwaga: Jeśli producent urządzenia wdrożył inną metodę aktualizacji aplikacji, kroki mogą się nieznacznie różnić.
Jeśli nie możesz aktualnie zaktualizować aplikacji, unikaj instalowania nowych aplikacji, które wymagają obsługi linków uwierzytelniających, logowania za pomocą kodów QR lub logowania z poziomu przeglądarki internetowej do aplikacji.
Podczas skanowania kodów QR lub klikania linków logowania sprawdź, czy obsługuje je aplikacja Microsoft Authenticator lub inna zaufana aplikacja, a nie nieznana, niedawno zainstalowana lub w inny sposób podejrzana aplikacja.
Jeśli to możliwe, korzystaj z alternatywnych opcji MFA, którym już ufasz (takich jak wbudowane uwierzytelnianie w menedżerze haseł lub rozwiązania specyficzne dla platformy, takie jak funkcje haseł Apple), dopóki nie będziesz mógł zastosować aktualizacji.
Korzystaj z ochrony przed złośliwym oprogramowaniem na urządzeniach mobilnych, która pomaga wykrywać złośliwe aplikacje.
Nie tylko informujemy o bezpieczeństwie telefonów - my je zapewniamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia mobilne przed zagrożeniami, pobierając Malwarebytes dla iOS i Malwarebytes dla Android już dziś.
