Microsoft Phone Link é explorado por ameaça desconhecida para roubar SMS e OTPs
Especialistas em segurança emitiram um alerta crítico sobre uma nova vulnerabilidade descoberta na ferramenta Microsoft Phone Link, que permite aos atacantes roubar mensagens SMS e códigos de autenticação de uso único (OTPs) sem precisar comprometer o dispositivo móvel diretamente. A ameaça representa um risco significativo para a autenticação de dois fatores (2FA) baseada em SMS, uma das métodos mais utilizados para proteger contas online.
A exploração foi identificada por pesquisadores da Security Intelligence, que detectaram que um plugin de um RAT (Remote Access Trojan) chamado CloudZ está utilizando a brecha no Phone Link para interceptar comunicações entre o smartphone Android e o computador Windows do usuário. O ataque funciona explorando as permissões concedidas durante a configuração inicial do aplicativo, permitindo que malware no PC monitore e exfiltra mensagens recebidas no celular sem que o usuário perceba qualquer atividade suspeita.
Impacto e Vetor de Ataque
A sofisticação do ataque reside no fato de que o malware não precisa infectar o dispositivo móvel propriamente dito. Os atacantes determinados conseguem obter acesso aos OTPs simplesmente através do computador comprometido, burlando uma camada de segurança que muitos usuários consideram confiável. Isso significa que mesmo pessoas com dispositivos móveis protegidos podem ter suas contas vulneráveis se o computador estiver infectado.
As implicações são preocupantes para a segurança digital global. Milhões de usuários utilizam o Phone Link para sincronizar notificações, mensagens e chamadas entre Android e Windows, e a falha compromete diretamente a integridade da autenticação por SMS. Especialistas recomendam que organizações e usuários individuais considerem alternativas mais seguras para verificação em duas etapas, como aplicativos autenticadores baseados em TOTP (Time-based One-Time Password) ou chaves de segurança físicas.
Recomendações de Mitigação
Usuários do Microsoft Phone Link devem revisar imediatamente as permissões concedidas ao aplicativo e considerar desativar a sincronização de mensagens SMS até que uma correção oficial seja disponibilizada pela Microsoft. A empresa ainda não inúmerou uma data para o patch de segurança, mas confirmou estar investigando o problema. Para proteção adicional, a adoção de métodos de autenticação que não dependam de SMS representa a medida mais eficaz contra este tipo de interceptação.