Bug critico in Microsoft Authenticator: i codici di accesso possono finire a un’app malevola sul telefono

Un bug di sicurezza inMicrosoft Authenticatorpuò far “scappare”codici monouso(OTP) olink di accessoverso un’app malevola già installata sullo smartphone. La vulnerabilità riguardaiOS e Androided è tracciata comeCVE-2026-26123: nel caso peggiore, un attaccante può recuperare le informazioni necessarie per provare a entrare al posto tuo.

La parte rassicurante è che la correzione è già presente nelle versioni più recenti dell’app: la mossa più efficace è banale e urgente,aggiornare subito. Quella meno rassicurante è che l’attacco sfrutta un gesto comunissimo: tocchi un link di login o scansioni un QR code e, quando il telefono chiede “Apri con…”, scegli l’app sbagliata. E a quel punto la porta giusta non è più l’unica aperta.

Cosa succede con la CVE-2026-26123: fuga di codici e link di autenticazione

Il cuore del problema è una possibileperdita di dati di autenticazioneda Microsoft Authenticator verso un’altra applicazione presente sullo stesso dispositivo. La falla interessa i meccanismi che gestisconocodici temporaneielink di accessopensati per velocizzare il login.

Funzioni comodissime nella vita quotidiana (un tap e sei dentro), ma che diventano delicate se un’app ostile riesce aintercettare il flusso. Non parliamo di fantascienza: è proprio il tipo di vulnerabilità che punta a sfruttare l’interazione tra app, dove spesso l’utente agisce in automatico.

L’attacco non arriva “da remoto”: serve un’app già infetta e un errore umano

Qui non c’è il classico scenario “ti bucano da lontano senza che tu faccia nulla”. Perché l’exploit funzioni, deve esserci giàun’app malevola installatasul telefono. Poi serve un secondo ingrediente: che tu le dia, anche involontariamente, l’occasione di gestire un’azione di accesso.

In pratica: ricevi un link di login via mail, lo tocchi, compare la scelta dell’app con cui aprirlo e selezioni di fretta quella sbagliata. Oppure scansioni un QR code per collegare un account e confermi un passaggio senza guardare bene. Risultato: l’app malevola può raccogliere l’OTP o i dati contenuti nel link di autenticazione e tentare l’accesso.

Deep link e QR code: la scorciatoia che può diventare un punto cieco

Ideep linksono collegamenti che aprono un’app direttamente “nel punto giusto”, non nella home. Nel mondo dell’autenticazione servono a rendere il login più rapido: clicchi, si apre Authenticator, approvi, fine.

Il guaio nasce quando il sistema consente a più app di dichiararsi in grado di gestire quel tipo di link e l’utente, davanti al pop-up “Apri con…”, sceglie l’opzione sbagliata (magari impostandola anche come “sempre”). Con iQR codeil rischio si amplifica: tutto avviene in pochi secondi e l’interfaccia non sempre aiuta a distinguere con chiarezza app legittime e app “travestite”.

Aggiornare è la priorità: il fix è già disponibile

Microsoft ha già integrato la correzione nelle versioni attuali dell’app: quindi la priorità èaggiornare Microsoft Authenticatordallo store (App Store o Google Play) e verificare che gli aggiornamenti automatici non siano bloccati o rimandati.

Se gestisci telefoni in azienda, è il classico caso in cui serve disciplina: controllare lo stato delle versioni, spingere l’update sui dispositivi gestiti e inseguire chi resta indietro. Per chi lavora inBYOD(Bring Your Own Device, cioè smartphone personale usato anche per lavoro), la situazione ricorda molto problemi già noti anche in Italia: il telefono è “tuo”, ma dentro ci finiscono mail, chat e accessi aziendali. E basta un’app installata con leggerezza per alzare il rischio.

Se non puoi aggiornare subito: attenzione a “Apri con…” e alle app appena installate

Se per qualche motivo non riesci ad aggiornare immediatamente, la mitigazione è comportamentale:evita di installare nuove appe fai molta attenzione quando apri link di accesso o scansioni QR code. Controlla che l’azione venga gestita daMicrosoft Authenticator(o da un’app di fiducia) e non da un’app sconosciuta.

Se qualcosa si inceppa (loop di login, codici che non arrivano, schermate strane), usa le opzioni alternative tipo “accedi in un altro modo” o “non posso usare l’app”. In ambito aziendale, l’IT può anche forzare una nuova registrazione MFA: meglio chiedere supporto che improvvisare e restare bloccati fuori dagli account.

Impatto per le aziende: MFA solido, ma non invincibile su telefoni “misti”

La vicenda è un promemoria secco: l’autenticazione a più fattoriè una barriera forte, ma non è magia. Se il telefono è compromesso o se i passaggi tra app sono fragili, anche il secondo fattore può essere aggirato.

Per le aziende, quelle che permettono BYOD, la risposta non è solo “aggiorna”: serve ridurre la probabilità del prerequisito (l’app malevola già presente) con regole di installazione, formazione periodica e, dove possibile, strumenti di gestione (MDM). E poi rivedere i flussi di accesso, privilegiando metodi che espongono meno “segreti” riutilizzabili, per account sensibili: amministratori, finanza, HR.