Лишь в редких случаях кто-то обращает внимание на раздел с благодарностями в сообщении об уязвимости.
Однако для человека, обнаружившего уязвимость, это зачастую результат многочасовой работы, проб и ошибок, стремления к признанию и, наконец, возможности увидеть, как уязвимость устраняется. Исследователи уязвимостей оказывают нам всем огромную услугу, когда ответственно сообщают о них поставщику.
На этой неделе мы пообщались с Халедом Мохамедом, специалистом по поиску уязвимостей, который обнаружил CVE-2026-26123 — уязвимость в приложении Microsoft Authenticator для iOS Android, из-за которой в некоторых случаях другое приложение на вашем телефоне могло похитить или неправомерно использовать ваши коды для входа.
Вопрос: Расскажите нам немного о себе. Как вы оказались в сфере кибербезопасности?
Ответ: Меня зовут Халед Мохамед, мне 23 года, я инженер по безопасности и основатель SecBound— стартапа в сфере кибербезопасности, специализирующегося на тестировании на проникновение. Наша цель в SecBound — предоставлять удобные, гибкие и доступные услуги по тестированию, которые позволяют решать проблемы безопасности, действительно важные для наших клиентов.
Помимо управления SecBound, я работаю полный рабочий день инженером по безопасности, а также активно участвую в программах по поиску уязвимостей. Мое имя внесено в залы славы нескольких крупных компаний, включая Google, GitHub, LinkedIn, Mastercard, Starbucks и Vimeo. Для меня невероятно ценно выявлять серьезные проблемы безопасности в некоторых из самых известных организаций мира. Устранение уязвимости, которая могла бы серьезно повлиять на жизнь бесчисленного количества пользователей, дарит потрясающее чувство удовлетворения.
Мой путь в сфере кибербезопасности начался довольно непросто и нестандартно.
Я был тем самым ребенком, который обожал исследовать и ломать все подряд. Со временем я стал «скрипт-кидди». Я до сих пор помню то волнение, которое я испытывал, когда с помощью простого скрипта отключал Wi-Fi у соседа и думал, что я — хозяин мира.
С этого момента я начал изучать кибербезопасность, в особенности веб-безопасность — как можно взломать веб-сайты и как их защитить.
Когда мне было 15 лет, я получил свой первый проект в качестве фрилансера: тестирование веб-приложений на уязвимости. Мне совершенно не удалось найти ни одной реальной уязвимости, но этот опыт стал для меня поворотным моментом. Он подтолкнул меня к изучению реальных научных основ кибербезопасности. Впоследствии я получил диплом по информатике, и до сих пор учусь чему-то новому каждый день. Этот процесс действительно не имеет конца.
Думаю, у многих людей в этой сфере есть похожие истории. В сущности, именно любопытство заставляет нас двигаться вперёд.
Вопрос: Вы специально искали уязвимость в приложении Authenticator или ваше внимание привлекло что-то необычное?
О: Как я уже упоминал, я занимаюсь поиском уязвимостей за вознаграждение, хотя в тот момент я не нацеливался конкретно на приложение Microsoft Authenticator. Просто мне случайно бросилось в глаза нечто необычное в том, как приложение обрабатывало глубокие ссылки и процессы входа на мобильных устройствах. Когда вы нажимаете на ссылку для входа или сканируете QR-код, операционная система предлагает «Открыть ссылку».
Это заинтриговало меня. Что произойдет, если это действие перехватит другое приложение? Чем больше я изучал и экспериментировал, тем яснее становилось, что речь идет о реальной угрозе безопасности. Продолжая расследование, я в конечном итоге обнаружил и сообщил об уязвимости CVE-2026-26123.
Вопрос: Что вас больше всего удивило в уязвимости Authenticator?
A: Уязвимость CVE-2026-26123 может привести к полному взлому учетной записи удивительно простым способом. Если на устройстве установлено вредоносное приложение, а пользователь отсканирует QR-код для входа с помощью встроенного сканера телефона, его учетная запись может быть фактически взломана. Даже такие передовые средства защиты, как двухфакторная аутентификация (2FA), могут быть обойдены, что приведет к полному взлому всех связанных учетных записей Microsoft.
Возможные реальные последствия для многофакторной аутентификации и процессов входа без пароля оказались весьма значительными, и это действительно удивило меня.
Вопрос: Какой совет вы бы дали начинающим специалистам по поиску уязвимостей или тем, кто только начинает свой путь в сфере кибербезопасности?
A: Всегда думайте как злоумышленник и тренируйте свой ум, чтобы предвидеть возможные последствия каждого действия. Ваши технические знания — это всего лишь инструмент: используйте их для достижения того результата, который вы себе наметили.
Проверяйте всё самостоятельно. Не считайте, что система безопасна только потому, что её уже тестировали другие. Тщательно проанализируйте, в чём могут скрываться уязвимости, а затем постарайтесь подтвердить или опровергнуть свои предположения с помощью практического тестирования.
Вопрос: Как вы считаете, какая ошибка чаще всего допускается в сфере кибербезопасности?
Ответ: Одна из самых распространённых — и самых опасных — ошибок в сфере кибербезопасности заключается в недооценке реального уровня угрозы. Многие организации по-прежнему считают, что кибератаки — это редкие явления или что злоумышленники нацелены в первую очередь на крупные, известные корпорации. На самом деле целью может стать любая компания, независимо от её размера или репутации.
Вопрос: Есть ли ещё что-нибудь, чем вы хотели бы поделиться с нашими слушателями?
О: Я хочу, чтобы люди знали: ответственное раскрытие уязвимостей действительно работает. Компания Microsoft отреагировала в рамках своей программы скоординированного раскрытия уязвимостей, и исправление было выпущено в составе обновления безопасности от 10 марта 2026 года, а это значит, что пользователи теперь находятся под защитой.
Именно этот процесс — когда исследователь обнаруживает проблему, ответственно сообщает о ней, а разработчик устраняет её — со временем делает всю экосистему более безопасной. Если вы обнаружили уязвимость, сообщите об этом. Не держите это в секрете.
Мы хотели бы поблагодарить Халеда Мохамеда за уделенное нам время и пожелать ему всего наилучшего в его будущих начинаниях.
Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.
