Kritischer Bug in Microsoft Authenticator: So können Einmalcodes und Login-Links auf iOS und Android abfließen

Ein Sicherheitsfehler in der App Microsoft Authenticator kann dazu führen, dass Einmalcodes oder spezielle Anmelde-Links unbeabsichtigt an eine andere – potenziell schädliche – App auf demselben Smartphone weitergereicht werden. Betroffen sind iPhones und Android-Geräte; die Schwachstelle wird unter der Kennung CVE-2026-26123 geführt.

Der entscheidende Punkt: Der Angriff funktioniert nicht „aus der Ferne“ ohne Zutun der Nutzer. Er setzt voraus, dass bereits eine bösartige App installiert ist – und dass Betroffene beim Öffnen eines Login-Links oder nach dem Scannen eines QR-Codes versehentlich die falsche App als „Öffnen mit…“-Ziel auswählen. Microsoft hat den Fehler nach Angaben aus dem Umfeld der Meldungen in aktuellen App-Versionen bereits behoben. Wer die App jetzt aktualisiert, reduziert das Risiko deutlich.

Was hinter CVE-2026-26123 steckt – und warum ausgerechnet Komfortfunktionen zum Problem werden

Im Kern geht es um eine mögliche Datenweitergabe aus Microsoft Authenticator an eine andere App auf demselben Gerät. Betroffen sind Abläufe, bei denen die App temporäre Codes (Einmalpasswörter) verarbeitet oder Anmelde-Links nutzt, die den Login-Prozess direkt anstoßen.

Solche Funktionen sind im Alltag praktisch: Ein Klick auf einen Link, die App öffnet sich an der richtigen Stelle, eine Bestätigung – fertig. Genau diese Bequemlichkeit wird hier zur Angriffsfläche, wenn das Betriebssystem mehreren Apps erlaubt, sich als zuständig für einen bestimmten Link-Typ auszugeben.

So läuft der Angriff ab: Schad-App installiert, dann ein falscher Klick

Das Szenario ist unspektakulär – und gerade deshalb gefährlich. Nutzer erhalten etwa per E-Mail oder in einem Unternehmensportal einen Anmelde-Link oder verbinden ein Konto über einen QR-Code. Das Smartphone fragt dann, mit welcher App die Aktion geöffnet werden soll. Wer in diesem Moment die falsche App auswählt, kann die sensiblen Daten an eine Schad-App übergeben.

Im ungünstigsten Fall erhält der Angreifer damit einen Einmalcode oder Informationen aus einem Login-Link, die ausreichen können, um sich als Opfer anzumelden – abhängig davon, wie der jeweilige Dienst die Sitzung prüft und wie eng das Zeitfenster ist. Ziel ist klar: die zweite Schutzschicht der Mehrfaktor-Authentifizierung (MFA) in dem Moment abzugreifen, in dem sie schützen soll.

Wichtig ist die Einordnung: Es handelt sich nicht um eine Schwachstelle, mit der beliebige Angreifer ohne Vorarbeit massenhaft Geräte übernehmen können. Der Angriff verlangt eine bereits installierte Schad-App und eine Fehlbedienung. In der Praxis ist das relevant, weil viele Nutzer Apps installieren, ohne den Herausgeber sorgfältig zu prüfen – auf privaten Geräten.

Deep Links und QR-Codes: Wenn „Öffnen mit…“ zur Sicherheitsentscheidung wird

„Deep Links“ sind Links, die nicht nur eine App starten, sondern direkt eine bestimmte Funktion oder Ansicht öffnen. Im Authentifizierungs-Kontext beschleunigen sie Anmeldungen, weil sie den Nutzer ohne Umwege zur Bestätigung führen.

Problematisch wird es, wenn eine andere App sich ebenfalls als Handler für solche Links registriert und in der Auswahlliste auftaucht. Mobile Oberflächen machen es Nutzern dabei nicht immer leicht: App-Namen können ähnlich wirken, Symbole lassen sich imitieren, und wer schnell „immer“ oder „nur diesmal“ antippt, merkt den Fehler oft erst, wenn es zu spät ist.

QR-Codes verschärfen das Muster, weil der Wechsel zwischen Browser, Kamera/Scanner und Authenticator-App in Sekunden passiert. Auch hier entscheidet am Ende häufig eine kurze Systemabfrage darüber, welche App den Vorgang verarbeitet – und damit, wohin sensible Informationen fließen.

Was Nutzer jetzt tun sollten: App aktualisieren und bei Login-Aufforderungen genauer hinschauen

Die wichtigste Maßnahme ist simpel: Microsoft Authenticator auf die neueste Version aus dem jeweiligen App-Store aktualisieren. Nach den vorliegenden Informationen ist der Fix in aktuellen Versionen bereits enthalten – wer nicht aktualisiert, bleibt unnötig angreifbar.

Zusätzlich hilft ein Verhaltenscheck, der im Alltag oft untergeht: Bei „Öffnen mit…“-Abfragen genau prüfen, ob Microsoft Authenticator ausgewählt ist. Unbekannte oder kürzlich installierte Apps sollten nicht als Standard für Login-Links oder Authentifizierungsabläufe gesetzt werden.

Wer vorübergehend nicht aktualisieren kann, sollte zumindest keine neuen Apps installieren und bei Login-Links sowie QR-Code-Anmeldungen aufmerksam sein. Falls es zu Anmeldeproblemen kommt, bieten viele Dienste alternative Wege („anders anmelden“, Backup-Codes, Zweitgerät). In Unternehmen kann die IT eine erneute MFA-Registrierung anstoßen.

heikel in Unternehmen: Private Smartphones im Job (BYOD) erhöhen das Risiko

In vielen Firmen ist Microsoft Authenticator Teil der Standardabsicherung – ähnlich wie in Deutschland zahlreiche Organisationen auf App-basierte MFA setzen, weil sie deutlich robuster ist als ein reines Passwort. Gleichzeitig wächst mit „Bring Your Own Device“ (BYOD), also der Nutzung privater Smartphones für berufliche Zwecke, die Angriffsfläche: Auf privaten Geräten landen eher Apps aus unterschiedlichsten Quellen.

Für IT-Abteilungen bedeutet das: Updates müssen schnell ausgerollt oder zumindest verbindlich eingefordert werden. Wo Mobile-Device-Management (MDM) im Einsatz ist, lässt sich der Patch-Stand prüfen und durchsetzen. In BYOD-Umgebungen bleibt oft nur eine Mischung aus klaren Mindestanforderungen, konsequenter Kommunikation und technischen Leitplanken.

Der Ausblick: Solche Fälle zeigen, dass MFA zwar ein starkes Sicherheitsnetz ist, aber nicht unabhängig vom Zustand des Endgeräts funktioniert. Je mehr Anmeldeprozesse auf schnelle Link- und QR-Flows setzen, desto wichtiger werden saubere App-Zuordnungen, restriktive Installationsregeln und ein Update-Tempo, das mit der Bedrohungslage Schritt hält.