Uma vulnerabilidade no Microsoft Authenticator para iOS e Android (CVE-2026-26123) pode vazar seus códigos de login únicos ou links diretos de autenticação para um aplicativo malicioso no mesmo dispositivo.
Deep links são URIs (Uniform Resource Identifiers) predefinidos que permitem acesso direto a uma atividade em uma web ou aplicativo móvel quando clicados. Em termos simples, são links construídos especificamente, usados para abrir um aplicativo e realizar ações como fazer login.
O Microsoft Authenticator é um aplicativo móvel que gera códigos únicos baseados em tempo e lida com links de entrada e logins baseados em QR para contas da Microsoft e outras contas. É amplamente utilizado para autenticação multifator (MFA) em telefones pessoais, incluindo dispositivos BYOD (Bring Your Own Device) que protegem o acesso a serviços corporativos e de produção.
Esta vulnerabilidade afeta usuários que possuem o Microsoft Authenticator instalado em um dispositivo iOS ou Android. Para que a vulnerabilidade seja explorada, o usuário primeiro precisaria instalar um aplicativo malicioso em seu dispositivo e depois escolher acidentalmente esse aplicativo para lidar com um link direto de login.
Se isso acontecer, o aplicativo malicioso receberá o código único ou as informações de login e poderá usá-los para se autenticar como vítima.
Se for bem-sucedido, um invasor poderá:
- Conclua fluxos de login para serviços que confiam nos seus códigos do Microsoft Authenticator.
- Acesse as informações e os serviços disponíveis para a conta comprometida (e-mail, arquivos, aplicativos em nuvem ou sistemas de produção em um contexto BYOD).
- Potencialmente, mude para contas adicionais se elas também estiverem protegidas por códigos entregues via Authenticator no mesmo dispositivo.
Como se manter seguro
A correção para CVE-2026-26123 já está incluída nas versões atuais, portanto, a instalação de atualizações é a mitigação mais eficaz.
- No iOS: Abra a App Store. Toque no Minha conta botão ou sua foto na parte superior da tela. Role para baixo para ver atualizações pendentes e notas de lançamento. Tocar Atualizar ao lado de um aplicativo para atualizar apenas esse aplicativo ou toque em Atualizar Aleu.
- No Android: abra o aplicativo Google Play Store. No canto superior direito, toque no ícone do perfil. Tocar Gerenciar aplicativos e dispositivos. Em “Atualizações disponíveis”, toque em Ver detalhes. Ao lado do aplicativo que você deseja atualizar, toque em Atualizar. Para atualizar todos os seus aplicativos ao mesmo tempo, toque em Atualizar tudo.
Observação: se o fabricante do seu dispositivo implementou um método diferente para aplicar atualizações de aplicativos, as etapas podem variar um pouco.
Se você não conseguir atualizar o aplicativo temporariamente, evite instalar novos aplicativos que solicitem o gerenciamento de links de autenticação, logins baseados em QR ou fluxos de login web-to-app.
Ao digitalizar códigos QR ou tocar em links de entrada, verifique se o manipulador é o Microsoft Authenticator ou outro aplicativo confiável, e não um aplicativo desconhecido, instalado recentemente ou suspeito.
Sempre que possível, use opções alternativas de MFA nas quais você já confia (como autenticação integrada em seu gerenciador de senhas ou soluções específicas da plataforma, como os recursos de senha da Apple) até poder aplicar a atualização.
Use proteção antimalware para seus dispositivos móveis que pode ajudar a detectar aplicativos maliciosos.
Não informamos apenas sobre a segurança do telefone: nós a fornecemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe de seus dispositivos móveis baixando o Malwarebytes para iOS e o Malwarebytes para Android hoje mesmo.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
autenticador,CVE-2026-26123,Celular