La sicurezza dei dispositivi mobili utilizzati per accedere a risorse aziendali dipende sempre più da meccanismi di verifica dell’integrità del sistema operativo. In questo contesto si inserisce una modifica annunciata da Microsoft per la propria app di autenticazione: Microsoft Authenticator inizierà a rilevare dispositivi Android e iOS considerati “compromessi” – ad esempio con accessi root abilitati o jailbreak – e a rimuovere automaticamente le credenziali aziendali associate.

L’aggiornamento riguarda gli account gestiti tramite Microsoft Entra ID, la piattaforma di identity management utilizzata da milioni di organizzazioni per controllare accessi, autenticazione multifattore (MFA) e politiche di sicurezza.

Il cambiamento, previsto a partire dalla fine di febbraio 2026, introduce controlli continui sullo stato del dispositivo. Quando l’app identifica un ambiente ritenuto non affidabile, blocca l’utilizzo delle credenziali e può arrivare a cancellarle dal dispositivo. Il problema emerge soprattutto per sistemi Android alternativi, tra cui GrapheneOS, un sistema Android orientato alla sicurezza che, pur non essendo tecnicamente rooted, non è ufficialmente supportato da Microsoft. L’interazione tra queste politiche di sicurezza e gli ambienti Android non standard apre interrogativi importanti per aziende e utenti avanzati.

La nuova politica di Microsoft Authenticator per dispositivi modificati

L’intervento annunciato da Microsoft riguarda il rafforzamento dei controlli sui dispositivi utilizzati per l’autenticazione a due fattori.

L’app Authenticator introduce un sistema automatico di rilevamento che identifica dispositivi Android con privilegi elevati o modifiche strutturali al sistema operativo. Quando un dispositivo è classificato come compromesso, l’applicazione impedisce l’utilizzo delle credenziali Entra e può cancellare i token già registrati.

Il rollout di questa novità è pianificato in più fasi. Inizialmente l’app mostra avvisi agli utenti, seguiti da blocchi progressivi dell’autenticazione e, infine, dalla rimozione delle credenziali dal dispositivo. La funzione è attiva per impostazione predefinita e non prevede opzioni di disattivazione per gli amministratori IT.

L’obiettivo è ridurre il rischio di accesso a servizi aziendali da dispositivi potenzialmente compromessi, in cui malware o strumenti di debugging potrebbero intercettare token di autenticazione o dati sensibili.

Il meccanismo si basa su controlli di integrità del sistema operativo e del bootloader, oltre alla verifica della presenza di ambienti modificati o di binari tipicamente associati al root. Molte applicazioni di sicurezza aziendale utilizzano metodi simili integrati con API di verifica dell’integrità del dispositivo.

GrapheneOS: un sistema Android progettato per la sicurezza

GrapheneOS è una distribuzione Android super sicura basata su AOSP (Android Open Source Project) progettata con l’obiettivo di rafforzare sicurezza e privacy.

Il progetto nasce da ricerche sulla mitigazione degli exploit e introduce numerosi miglioramenti rispetto alla versione standard del sistema operativo, tra cui un rafforzamento delle barriere di isolamento tra applicazioni e meccanismi avanzati di difesa contro classi comuni di vulnerabilità.

Uno degli elementi centrali dell’architettura è il modello di isolamento delle applicazioni tramite app sandbox, ulteriormente rafforzato rispetto alla configurazione Android standard. Il sistema introduce anche permessi più granulari per componenti sensibili come sensori, rete e periferiche hardware. Le restrizioni possono essere applicate dinamicamente, ad esempio limitando l’accesso a USB o fotocamera quando il dispositivo è bloccato.

Un’altra caratteristica distintiva è la possibilità di installare i servizi Google in modalità sandboxed. In questa configurazione le librerie e i servizi proprietari di Google sono eseguiti come applicazioni normali, senza privilegi di sistema. Il risultato è una compatibilità elevata con molte app Android – incluse quelle bancarie o di streaming – pur mantenendo una separazione più rigida tra servizi e sistema operativo.

Perché un sistema sicuro può essere scambiato per un dispositivo compromesso

Il punto critico nasce dal modo in cui molte applicazioni aziendali verificano l’integrità dei dispositivi. Tali controlli non distinguono sempre tra una ROM personalizzata progettata per aumentare la sicurezza e un sistema modificato con privilegi root.

Tra le tecnologie più utilizzate rientra la Play Integrity API, evoluzione della precedente SafetyNet. L’API consente alle applicazioni di interrogare i servizi Google Play per verificare se il dispositivo soddisfa determinati requisiti di integrità. La verifica include parametri come lo stato del bootloader, la firma del sistema operativo e la presenza di componenti di sicurezza come verified boot. Se il dispositivo non supera i controlli, l’app può rifiutare l’esecuzione o limitare alcune funzionalità.

Le distribuzioni Android alternative, anche quando non includono root o modifiche invasive, spesso non soddisfano i criteri di certificazione previsti da queste API. Il risultato è che software aziendali o applicazioni bancarie possono trattare tali sistemi come potenzialmente compromessi.

Implicazioni per l’uso aziendale e l’autenticazione multifattore

L’impatto principale riguarda gli utenti che utilizzano GrapheneOS per accedere a servizi aziendali gestiti tramite Entra ID. L’app Authenticator rappresenta uno dei metodi più diffusi per l’autenticazione multifattore, in particolare per scenari di accesso condizionale implementati tramite Microsoft 365, Azure e altri servizi cloud aziendali.

Se un dispositivo è classificato come non affidabile, l’utente potrebbe perdere la possibilità di utilizzare Authenticator come secondo fattore di autenticazione. Negli ambienti aziendali con politiche di sicurezza rigide, l’uso di applicazioni alternative basate su codici TOTP potrebbe non essere consentito. Alcune organizzazioni, infatti, richiedono esplicitamente l’utilizzo dell’app ufficiale Microsoft per sfruttare funzionalità aggiuntive come il numero di verifica interattivo o le notifiche push protette.

In assenza di supporto ufficiale per GrapheneOS, gli amministratori IT potrebbero decidere di bloccare l’accesso ai servizi aziendali da dispositivi che eseguono questo sistema operativo, anche se tecnicamente più sicuro rispetto ad Android standard.

GrapheneOS e il crescente interesse dell’industria

La situazione appare ancora più significativa alla luce dell’interesse crescente verso GrapheneOS da parte dei produttori hardware. Durante il Mobile World Congress 2026, Motorola ha annunciato l’avvio di una collaborazione con GrapheneOS, con l’obiettivo di realizzare dispositivi progettati per integrare direttamente il sistema.

Il progetto mira a portare sul mercato smartphone con un “core di sicurezza rafforzato” destinati a imprese e organizzazioni pubbliche. L’iniziativa include attività congiunte di ricerca e sviluppo e la possibilità di integrare funzionalità di sicurezza del sistema in nuovi dispositivi basati su SoC Qualcomm Snapdragon.

L’adozione da parte di un produttore globale potrebbe aumentare la diffusione di questo sistema operativo in contesti aziendali, rendendo ancora più rilevante la compatibilità con applicazioni di autenticazione e strumenti di identity management.

Al momento non è chiaro se GrapheneOS sarà effettivamente identificato come dispositivo rooted nei controlli implementati da Microsoft Authenticator. Il sistema non include root e mantiene meccanismi di sicurezza come verified boot, ma la mancanza di certificazione ufficiale potrebbe comunque causare falsi positivi nei controlli di integrità.

Se la compatibilità dovesse diventare un problema diffuso, una possibile soluzione potrebbe essere l’introduzione di un supporto ufficiale per GrapheneOS o l’adattamento dei meccanismi di rilevamento per distinguere tra sistemi modificati e distribuzioni progettate per aumentare la sicurezza.

Un’alternativa tecnica consiste nell’utilizzo di metodi di autenticazione differenti, come chiavi hardware compatibili con lo standard FIDO2, che possono essere registrate come secondo fattore negli account Entra ID. Tuttavia la loro adozione dipende dalle politiche aziendali e dalla configurazione delle piattaforme di identity management.