Uma vulnerabilidade no Microsoft Authenticator para iOS Android CVE-2026-26123) pode vazar os seus códigos de início de sessão únicos ou links profundos de autenticação para uma aplicação maliciosa no mesmo dispositivo.
Links diretos são URIs (Uniform Resource Identifiers) predefinidos que permitem o acesso direto a uma atividade em um aplicativo web ou móvel quando clicados. Em termos simples, são links criados especificamente para abrir um aplicativo e realizar ações como fazer login.
O Microsoft Authenticator é uma aplicação móvel que gera códigos únicos baseados no tempo e lida com links de início de sessão e inícios de sessão baseados em QR para contas da Microsoft e outras contas. É amplamente utilizado para autenticação multifator (MFA) em telemóveis pessoais, incluindo dispositivos BYOD (Bring Your Own Device) que protegem o acesso a serviços corporativos e de produção.
Esta vulnerabilidade afeta utilizadores que tenham o Microsoft Authenticator instalado num dispositivo iOS Android . Para que a vulnerabilidade seja explorada, o utilizador precisaria primeiro instalar um aplicativo malicioso no seu dispositivo e, em seguida, acidentalmente escolher esse aplicativo para lidar com um link direto de login.
Se isso acontecer, a aplicação maliciosa recebe o código único ou as informações de início de sessão e pode potencialmente utilizá-los para se autenticar como a vítima.
Se bem-sucedido, um invasor poderia:
- Conclua os fluxos de início de sessão em serviços que confiam nos seus códigos do Microsoft Authenticator.
- Aceda às informações e serviços disponíveis na conta comprometida (e-mail, ficheiros, aplicações na nuvem ou sistemas de produção num contexto BYOD).
- Potencialmente, mude para contas adicionais se estas também estiverem protegidas por códigos fornecidos pelo Authenticator no mesmo dispositivo.
Como se manter seguro
A correção para CVE-2026-26123 já está incluída nas versões atuais, portanto, instalar as atualizações é a mitigação mais eficaz.
- No iOS: Abra a App Store. Toque no botão Minha conta ou na sua foto na parte superior do ecrã. Role para baixo para ver as atualizações pendentes e as notas de lançamento. Toque em Atualizar ao lado de um aplicativo para atualizar apenas esse aplicativo ou toque em Atualizar tudo.
- No Android: Abra a aplicação Google Play Store. No canto superior direito, toque no ícone do perfil. Toqueem Gerir aplicações e dispositivo. Em «Atualizações disponíveis», toqueem Ver detalhes. Ao lado da aplicação que pretende atualizar, toque emAtualizar. Para atualizar todas as suas aplicações ao mesmo tempo, toque emAtualizar tudo.
Nota: Se o fabricante do seu dispositivo implementou um método diferente para aplicar atualizações de aplicações, os passos podem variar ligeiramente.
Se não for possível atualizar a aplicação temporariamente, evite instalar novas aplicações que solicitem o tratamento de links de autenticação, inícios de sessão baseados em QR ou fluxos de início de sessão da Web para a aplicação.
Ao digitalizar códigos QR ou tocar em links de início de sessão, verifique se o manipulador é o Microsoft Authenticator ou outro aplicativo confiável, e não um aplicativo desconhecido, instalado recentemente ou suspeito.
Sempre que possível, utilize opções alternativas de MFA nas quais já confia (como a autenticação integrada no seu gestor de palavras-passe ou soluções específicas da plataforma, como os recursos de palavras-passe da Apple) até poder aplicar a atualização.
Use proteção antimalware para seus dispositivos móveis, que pode ajudar a detectar aplicativos maliciosos.
Os burlões sabem mais sobre si do que pensa.
Mobile Security Malwarebytes Mobile Security contra phishing, mensagens fraudulentas, sites maliciosos e muito mais. Com o Scam Guard integrado, alimentado por IA e em tempo real.
