Uma vulnerabilidade no Microsoft Authenticator para iOS Android CVE-2026-26123) pode vazar seus códigos de login únicos ou links diretos de autenticação para um aplicativo malicioso no mesmo dispositivo.
Links diretos são URIs (Uniform Resource Identifiers) predefinidos que permitem o acesso direto a uma atividade em um aplicativo web ou móvel quando clicados. Em termos simples, são links criados especificamente para abrir um aplicativo e realizar ações como fazer login.
O Microsoft Authenticator é um aplicativo móvel que gera códigos únicos baseados em tempo e lida com links de login e logins baseados em QR para contas da Microsoft e outras contas. É amplamente utilizado para autenticação multifatorial (MFA) em telefones pessoais, incluindo dispositivos BYOD (Bring Your Own Device) que protegem o acesso a serviços corporativos e de produção.
Essa vulnerabilidade afeta usuários que têm o Microsoft Authenticator instalado em um Android iOS Android . Para que a vulnerabilidade seja explorada, o usuário precisaria primeiro instalar um aplicativo malicioso em seu dispositivo e, em seguida, acidentalmente escolher esse aplicativo para lidar com um link direto de login.
Se isso acontecer, o aplicativo malicioso recebe o código único ou as informações de login e pode potencialmente usá-los para se autenticar como a vítima.
Se bem-sucedido, um invasor poderia:
- Conclua os fluxos de login para serviços que confiam nos seus códigos do Microsoft Authenticator.
- Acesse as informações e os serviços disponíveis na conta comprometida (e-mail, arquivos, aplicativos em nuvem ou sistemas de produção em um contexto BYOD).
- Potencialmente, mude para contas adicionais se elas também estiverem protegidas por códigos fornecidos pelo Authenticator no mesmo dispositivo.
Como se manter seguro
A correção para CVE-2026-26123 já está incluída nas versões atuais, portanto, instalar as atualizações é a mitigação mais eficaz.
- No iOS: Abra a App Store. Toque no botão Minha conta ou na sua foto na parte superior da tela. Role para baixo para ver as atualizações pendentes e as notas de lançamento. Toque em Atualizar ao lado de um aplicativo para atualizar apenas esse aplicativo ou toque em Atualizar tudo.
- No Android: Abra o aplicativo Google Play Store. No canto superior direito, toque no ícone do perfil. Toqueem Gerenciar aplicativos e dispositivos. Em “Atualizações disponíveis”, toqueem Ver detalhes. Ao lado do aplicativo que deseja atualizar, toque emAtualizar. Para atualizar todos os seus aplicativos ao mesmo tempo, toque emAtualizar tudo.
Observação: se o fabricante do seu dispositivo implementou um método diferente para aplicar atualizações de aplicativos, as etapas podem variar ligeiramente.
Se você estiver temporariamente impossibilitado de atualizar o aplicativo, evite instalar novos aplicativos que solicitem o tratamento de links de autenticação, logins baseados em QR ou fluxos de login da web para o aplicativo.
Ao digitalizar códigos QR ou tocar em links de login, verifique se o manipulador é o Microsoft Authenticator ou outro aplicativo confiável, e não um aplicativo desconhecido, instalado recentemente ou suspeito.
Sempre que possível, use opções alternativas de MFA nas quais você já confia (como a autenticação integrada em seu gerenciador de senhas ou soluções específicas da plataforma, como os recursos de senha da Apple) até que você possa aplicar a atualização.
Use proteção antimalware para seus dispositivos móveis, que pode ajudar a detectar aplicativos maliciosos.
Não nos limitamos a informar sobre segurança telefônica - nós a fornecemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos móveis fazendo o download Malwarebytes para iOS e Malwarebytes para Android hoje mesmo.
