Уязвимость в Microsoft Authenticator для iOS Android CVE-2026-26123) может привести к утечке одноразовых кодов входа или глубоких ссылок аутентификации в вредоносное приложение на том же устройстве.
Глубокие ссылки — это заранее определенные URI (унифицированные идентификаторы ресурсов), которые при нажатии обеспечивают прямой доступ к определенной деятельности в веб-приложении или мобильном приложении. Проще говоря, это специально созданные ссылки, которые используются для открытия приложения и выполнения таких действий, как вход в систему.
Microsoft Authenticator — это мобильное приложение, которое генерирует одноразовые коды с ограниченным сроком действия и обрабатывает ссылки для входа в систему и входы на основе QR-кодов для учетных записей Microsoft и других учетных записей. Оно широко используется для многофакторной аутентификации (MFA) на личных телефонах, включая устройства BYOD (Bring Your Own Device), которые защищают доступ к корпоративным и производственным сервисам.
Эта уязвимость затрагивает пользователей, у которых на Android iOS Android установлено приложение Microsoft Authenticator. Чтобы уязвимость могла быть использована, пользователю сначала необходимо установить на свое устройство вредоносное приложение, а затем случайно выбрать это приложение для обработки глубокой ссылки для входа в систему.
В этом случае вредоносное приложение получает одноразовый код или данные для входа и может использовать их для аутентификации от имени жертвы.
В случае успеха злоумышленник может:
- Завершите процесс входа в службы, которые доверяют кодам Microsoft Authenticator.
- Получите доступ к информации и услугам, доступным для взломанной учетной записи (электронная почта, файлы, облачные приложения или производственные системы в контексте BYOD).
- Возможно, переключитесь на дополнительные учетные записи, если они также защищены кодами, доставленными через Authenticator на том же устройстве.
Как оставаться в безопасности
Исправление для CVE-2026-26123 уже включено в текущие версии, поэтому установка обновлений является наиболее эффективным средством защиты.
- На iOS: Откройте App Store. Нажмите кнопку «Моя учетная запись » или свою фотографию в верхней части экрана. Прокрутите вниз, чтобы увидеть ожидающие обновления и примечания к выпуску. Нажмите «Обновить» рядом с приложением, чтобы обновить только это приложение, или нажмите «Обновить все».
- На Android: откройте приложение Google Play Store. В правом верхнем углу нажмите значок профиля. Нажмите«Управление приложениями и устройством». В разделе «Доступные обновления» нажмите«Посмотреть подробности». Рядом с приложением, которое хотите обновить, нажмите«Обновить». Чтобы обновить все приложения одновременно, нажмите«Обновить все».
Примечание: если производитель вашего устройства использует другой способ установки обновлений приложений, действия могут немного отличаться.
Если вы временно не можете обновить приложение, избегайте установки новых приложений, которые запрашивают обработку ссылок аутентификации, входа с помощью QR-кода или входа из веб-приложения.
При сканировании QR-кодов или нажатии ссылок для входа в систему убедитесь, что обработчиком является Microsoft Authenticator или другое доверенное приложение, а не неизвестное, недавно установленное или иное подозрительное приложение.
По возможности используйте альтернативные варианты MFA, которым вы уже доверяете (например, встроенную аутентификацию в вашем менеджере паролей или специфичные для платформы решения, такие как функции паролей Apple), пока не сможете применить обновление.
Используйте на мобильных устройствах антивирусную защиту, которая поможет обнаружить вредоносные приложения.
Мы не просто сообщаем о безопасности телефонов - мы ее обеспечиваем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes для iOS и Malwarebytes для Android, чтобы предотвратить угрозы на своих мобильных устройствах.
