Cảnh báo khẩn về Microsoft Authenticator, có thể gây mất tài khoản Facebook, Gmail

Kẻ xấu có thể chiếm quyền đăng nhập thông qua lỗi Deep Link trên Microsoft Authenticator.

Một lỗ hổng bảo mật vừa được phát hiện trên ứng dụng xác thực Microsoft Authenticator phổ biến nhất nhì trên thế giới, đặt hàng triệu tài khoản người dùng trước nguy cơ bị chiếm quyền kiểm soát.

Ứng dụng Authenticator của Microsoft tồn tại lỗ hổng nguy hiểm.

Mới đây, mã lỗi CVE-2026-20435 đã được công bố, nhắm thẳng vào ứng dụng Microsoft Authenticator trên cả hai nền tảng Android và iOS. Điều đáng nói là thay vì bảo vệ người dùng, một lỗi trong cách xử lý "deep link" có thể khiến các mã xác thực một lần (OTP) bị chuyển hướng sang một ứng dụng độc hại khác đang chạy ngầm trên máy.

Kịch bản tấn công thường bắt đầu bằng việc người dùng bị lừa cài đặt một ứng dụng có vẻ vô hại. Khi thực hiện đăng nhập vào các dịch vụ quan trọng như email công ty hay tài khoản ngân hàng, nếu người dùng chọn nhầm ứng dụng xử lý liên kết, mã OTP sẽ ngay lập tức rơi vào tay kẻ xấu.

Việc mất mã xác thực đa yếu tố (MFA) là một thảm họa bảo mật. Kẻ tấn công không chỉ đọc được email, tệp tin cá nhân mà còn có thể xâm nhập sâu vào hệ thống dữ liệu của doanh nghiệp trong các mô hình làm việc từ xa. Từ một tài khoản bị chiếm đoạt, chúng có thể tạo ra các cuộc tấn công dây chuyền sang nhiều dịch vụ khác nhau.

Tin vui là Microsoft đã nhanh chóng tung ra bản vá lỗi. Các chuyên gia bảo mật khuyến cáo người dùng cần kiểm tra App Store hoặc Google Play Store ngay lập tức để cập nhật Microsoft Authenticator lên phiên bản mới nhất.

Lập tức cập nhật cho ứng dụng Microsoft Authenticator.

Trong trường hợp chưa thể cập nhật, người dùng cần tuyệt đối cảnh giác khi nhấn vào các liên kết đăng nhập hoặc quét mã QR. Hãy luôn đảm bảo rằng ứng dụng hiện lên để thực hiện xác thực chính xác là Microsoft Authenticator. Ngoài ra, việc sử dụng các phần mềm diệt mã độc trên điện thoại cũng là một lớp bảo vệ cần thiết để phát hiện sớm các ứng dụng giả mạo.