详细内容或原文请订阅后点击阅览
Microsoft Authenticator 可能会泄露登录代码 - 立即更新您的应用
Android 和 iOS 上的 Microsoft Authenticator 中的错误可能允许同一设备上的恶意应用拦截身份验证代码或登录链接。
来源:Malwarebytes Labs 博客适用于 iOS 和 Android 的 Microsoft Authenticator 中的漏洞 (CVE-2026-26123) 可能会将您的一次性登录代码或身份验证深层链接泄漏到同一设备上的恶意应用程序。
深层链接是预定义的 URI(统一资源标识符),点击后可以直接访问网络或移动应用程序中的活动。简而言之,它们是专门构建的链接,用于打开应用程序并完成登录等操作。
Microsoft Authenticator 是一款移动应用程序,可生成基于时间的一次性代码并处理 Microsoft 和其他帐户的登录链接和基于 QR 的登录。它广泛用于个人电话上的多重身份验证 (MFA),包括保护对公司和生产服务的访问的 BYOD(自带设备)设备。
此漏洞影响在 iOS 或 Android 设备上安装了 Microsoft Authenticator 的用户。要利用该漏洞,用户首先需要在其设备上安装恶意应用程序,然后意外选择该应用程序来处理登录深层链接。
如果发生这种情况,恶意应用程序会收到一次性代码或登录信息,并可能使用它来验证受害者身份。
如果成功,攻击者可以:
如何保持安全
CVE-2026-26123 的修复已包含在当前版本中,因此安装更新是最有效的缓解措施。