Проблемы безопасности с приложением Microsoft Authenticator - оно может утверждать запросы от заблокированного iPhone?

Мы используем приложение Microsoft Authenticator для обеспечения многофакторной аутентификации (MFA) для ресурсов, защищенных Azure AD.

Я заметил, что вы можете утвердить запрос, сместив push-уведомление с заблокированного экрана iPhone на iOS и утвердив запрос на вход.

Разве это не небезопасно? Это означает, что плохой актер может получить доступ к многофакторному утверждению с заблокированного телефона из браузера, который прошел предварительную проверку подлинности.

Сценарий А:

Пользователь вошел в Windows 10 с учетной записью Azure AD в Windows.

1. Bad actor tries to open a resource, in my case through Visual Studio; just click the already authenticated account (no password required).

2. Swipe the push on the users device (not uncommon to be on a desk inside the office)

3. Tap approve and you're in!

Сценарий Б:

У пользователя есть пароль, автоматически заполненный в его браузере.

1. The user open a resource, like Outlook Online, just click
login without entering password since it is auto-filled.

2. Swipe the push on the users device (not uncommon to be on a desk inside the office)

3. Tap approve and you're in!

ОБНОВИТЬ:

Я также могу открыть Internet Explorer и Edge и перейти прямо в O365, даже не вводя пароль, просто имея компьютер (без пароля для входа) и заблокированный iPhone.

Посмотреть на заблокированном экране (на шведском):