Phone Link w Windows – wygoda, która może stać się furtką dla cyberprzestępców

maj 6, 2026

Łączenie telefonu z komputerem stało się dziś czymś zupełnie naturalnym. Chcemy odbierać SMS-y na ekranie laptopa, widzieć powiadomienia z telefonu w Windowsie, szybko skopiować zdjęcie, odebrać połączenie albo odpisać na wiadomość bez sięgania po smartfon.

Wygodne? Bardzo.

Ale najnowsze doniesienia z branży cyberbezpieczeństwa pokazują, że tam, gdzie pojawia się wygoda, bardzo często pojawia się też nowe ryzyko.

Badacze Cisco Talos opisali kampanię malware, w której przestępcy wykorzystali złośliwe narzędzie CloudZ RAT oraz dodatkowy moduł nazwany Pheno. Celem ataku było wykradanie danych z komputerów z Windows, w tym potencjalnie kodów jednorazowych OTP, które mogły trafiać na komputer przez aplikację Microsoft Phone Link. Według Cisco Talos aktywność tej kampanii była obserwowana co najmniej od stycznia 2026 roku.

Czym jest Phone Link?

Phone Link to aplikacja Microsoftu znana wcześniej jako „Twój telefon”. Pozwala połączyć smartfon z komputerem z Windows. Po sparowaniu urządzeń użytkownik może między innymi przeglądać wiadomości SMS, odbierać powiadomienia, obsługiwać połączenia i korzystać z wybranych funkcji telefonu z poziomu komputera.

Microsoft wprost opisuje, że w ustawieniach Phone Link można włączyć dostęp do wiadomości z telefonu, w tym opcję pokazywania SMS-ów oraz obsługę wiadomości MMS.
Aplikacja może również synchronizować powiadomienia z telefonu do komputera, jeżeli użytkownik nada jej odpowiednie uprawnienia.

I właśnie tu zaczyna się problem.

Bo jeśli komputer widzi nasze SMS-y i powiadomienia z telefonu, to zainfekowany komputer może stać się dla przestępcy oknem do tych danych.

To nie był atak na telefon. To był atak na komputer

Najważniejsze w tej historii jest to, że opisywany scenariusz nie wymagał zainfekowania telefonu.

Telefon mógł być czysty.

Problemem był komputer z Windows, na którym działała aplikacja Phone Link i który był wcześniej sparowany ze smartfonem. Według analizy Cisco Talos złośliwy plugin Pheno sprawdzał obecność procesów związanych z Phone Link, a następnie próbował uzyskać dostęp do lokalnej bazy danych SQLite używanej przez aplikację do przechowywania zsynchronizowanych danych z telefonu.

Mówiąc prościej:

telefon może leżeć spokojnie w kieszeni, ale jeśli jego SMS-y i powiadomienia pojawiają się na zainfekowanym komputerze, to cyberprzestępca nie musi włamywać się do telefonu. Wystarczy mu komputer.

Dlaczego SMS-y z kodami są tak ważne?

Wiele osób nadal korzysta z kodów SMS jako drugiego składnika logowania. Bank, poczta, konto firmowe, portal klienta, system księgowy, serwis społecznościowy - wszędzie tam może pojawić się kod jednorazowy.

Przez lata powtarzaliśmy:

Nie podawaj nikomu kodu z SMS-a.

To nadal prawda. Ale dziś trzeba dodać coś jeszcze:

Nie pokazuj kodu z SMS-a każdemu komputerowi.

Jeżeli SMS z kodem pojawia się nie tylko na telefonie, ale również na komputerze, to bezpieczeństwo tego kodu zależy już nie tylko od telefonu. Zależy także od tego, czy komputer jest czysty, aktualny i wolny od złośliwego oprogramowania.

A to w praktyce bywa różnie.

Jak mógł wyglądać taki scenariusz ataku?

Wyobraźmy sobie typową sytuację.

Użytkownik korzysta z komputera firmowego. Dla wygody sparował z nim swój telefon przez Phone Link. Na ekranie komputera widzi SMS-y, powiadomienia i informacje z telefonu.

Później pobiera z internetu fałszywą aktualizację, otwiera zainfekowany załącznik albo uruchamia plik, który wygląda niewinnie. W tle instaluje się malware.

Od tego momentu przestępca nie musi już przejmować telefonu. Wystarczy, że spróbuje odczytać dane, które telefon sam legalnie synchronizuje z komputerem.

Cisco Talos wskazuje, że CloudZ RAT był używany do kradzieży danych uwierzytelniających i potencjalnie kodów jednorazowych, a Pheno był elementem pozwalającym nadużyć relacji między komputerem a telefonem.
Podobnie opisał to serwis The Hacker News, zwracając uwagę, że atakujący mogli próbować przechwytywać wrażliwe dane mobilne, takie jak SMS-y i kody OTP, bez instalowania malware na samym telefonie.

Czy Phone Link jest niebezpieczny?

Nie. Sama aplikacja Phone Link nie jest wirusem i nie należy jej traktować jak zagrożenia.

Problemem nie jest to, że Microsoft stworzył wygodne narzędzie. Problemem jest to, że każde wygodne połączenie między urządzeniami tworzy nową powierzchnię ataku.

To podobna sytuacja jak z pocztą w telefonie, zapamiętanymi hasłami w przeglądarce czy synchronizacją plików w chmurze. Same w sobie są przydatne. Ale jeżeli ktoś przejmie urządzenie, które ma do nich dostęp, konsekwencje mogą być znacznie większe.

Phone Link po prostu rozszerza komputer o kawałek naszego telefonu.

A skoro tak, to zainfekowany komputer może przestać być „tylko komputerem”. Może stać się miejscem, z którego przestępca widzi również fragment naszej komunikacji mobilnej.

Szczególnie uważać powinny firmy

W firmach ten temat jest jeszcze ważniejszy.

Dlaczego?

Bo pracownicy często łączą prywatne telefony z komputerami służbowymi. Czasem dla wygody, czasem z przyzwyczajenia, czasem dlatego, że Windows sam podpowiada taką możliwość.

W efekcie na komputerze firmowym mogą pojawiać się:

  • prywatne SMS-y,
  • kody bankowe,
  • powiadomienia z komunikatorów,
  • kody logowania do usług prywatnych i firmowych,
  • fragmenty rozmów,
  • informacje z aplikacji mobilnych.

To tworzy problem nie tylko techniczny, ale też organizacyjny. Firma powinna wiedzieć, czy pozwala na takie połączenia, w jakim zakresie i na jakich komputerach.

Warto zadać proste pytanie:

Czy naprawdę chcemy, aby prywatny telefon pracownika synchronizował SMS-y i powiadomienia z komputerem służbowym?

W wielu przypadkach odpowiedź powinna brzmieć: nie, chyba że jest to świadomie dopuszczone i odpowiednio zabezpieczone.

SMS jako drugi składnik logowania - lepszy niż nic, ale nie idealny

Kody SMS są nadal powszechne. I trzeba uczciwie powiedzieć: SMS jako drugi składnik logowania jest lepszy niż brak jakiegokolwiek zabezpieczenia.

Ale nie jest to rozwiązanie idealne.

SMS może zostać przechwycony na różne sposoby. Można paść ofiarą phishingu, podmiany karty SIM, socjotechniki, złośliwego oprogramowania albo właśnie sytuacji, w której kod trafia na inne urządzenie przez synchronizację.

Dlatego tam, gdzie to możliwe, warto korzystać z bezpieczniejszych metod:

  • aplikacji uwierzytelniających,
  • kluczy sprzętowych,
  • logowania passkey,
  • powiadomień push z dodatkowym potwierdzeniem,
  • rozwiązań MFA zarządzanych centralnie w firmie.

Nie chodzi o to, żeby demonizować SMS-y. Chodzi o to, żeby nie traktować ich jak pancernej tarczy.

Przed czym warto ostrzec użytkowników?

Przede wszystkim przed automatycznym łączeniem wszystkiego ze wszystkim.

W cyberbezpieczeństwie bardzo często działa prosta zasada:

Im więcej wygody, tym więcej miejsc, które trzeba zabezpieczyć.

Jeżeli używamy Phone Link, róbmy to świadomie. Nie łączmy telefonu z przypadkowymi komputerami. Nie pokazujmy SMS-ów i powiadomień na urządzeniach, którym nie ufamy. Nie zostawiajmy sparowanego telefonu na komputerze, z którego korzysta wiele osób.

Warto też regularnie sprawdzać, z jakimi komputerami połączony jest telefon i czy naprawdę nadal tego potrzebujemy.

Co można zrobić praktycznie?

Dla zwykłego użytkownika najważniejsze zasady są proste:

  1. Używaj Phone Link tylko wtedy, gdy naprawdę tego potrzebujesz.
    Jeśli nie korzystasz z tej funkcji, rozłącz telefon z komputerem.
  2. Nie łącz prywatnego telefonu z firmowym komputerem bez potrzeby.
    Zwłaszcza jeśli na telefon przychodzą kody bankowe, prywatne wiadomości lub ważne powiadomienia.
  3. Nie instaluj aktualizacji z przypadkowych stron.
    Aktualizacje Windows wykonuj przez Windows Update, a nie przez pliki pobrane z reklam, maili czy wyskakujących okien.
  4. Nie traktuj SMS-a jako idealnego zabezpieczenia.
    Tam, gdzie możesz, używaj aplikacji uwierzytelniającej, passkey albo klucza sprzętowego.
  5. Dbaj o komputer tak samo jak o telefon.
    Jeżeli komputer ma dostęp do danych z telefonu, to jego bezpieczeństwo staje się równie ważne.
  6. Sprawdzaj uprawnienia aplikacji.
    W Phone Link można zarządzać funkcjami wiadomości i powiadomień. Jeśli nie potrzebujesz SMS-ów na komputerze, wyłącz tę opcję.
  7. W firmie ustal jasne zasady.
    Czy pracownicy mogą parować telefony z komputerami służbowymi? Czy dotyczy to telefonów prywatnych? Czy Phone Link jest potrzebny wszystkim?

Czy trzeba panikować?

Nie.

Ale warto się zatrzymać i pomyśleć.

Ten przypadek pokazuje bardzo ważną rzecz: cyberprzestępcy coraz częściej nie atakują wyłącznie „dziur” w systemie. Oni wykorzystują legalne funkcje, legalne aplikacje i nasze własne przyzwyczajenia.

Phone Link jest wygodny. Ale właśnie dlatego może być atrakcyjny dla atakujących.

Bo jeśli użytkownik sam połączył telefon z komputerem, a komputer zostanie zainfekowany, to przestępca nie musi wyważać drzwi do telefonu. Może wejść przez okno, które wcześniej sami otworzyliśmy dla wygody.

Podsumowanie

Nie chodzi o to, żeby od razu usuwać Phone Link z każdego komputera.

Chodzi o świadomość.

Jeżeli telefon jest połączony z komputerem, to część danych z telefonu może pojawiać się również na komputerze. A jeśli komputer zostanie zainfekowany, te dane mogą stać się celem ataku.

Dlatego warto pamiętać:

Telefon może leżeć bezpiecznie w kieszeni.
Ale jeśli jego SMS-y wyświetlają się na zainfekowanym komputerze, to dla cyberprzestępcy kieszeń przestaje mieć znaczenie.

A druga zasada jest jeszcze prostsza:

Kiedyś mówiliśmy: nie podawaj kodu z SMS-a nikomu.
Dziś trzeba dodać: i nie pokazuj go każdemu komputerowi.

Źródła

Cisco Talos - analiza kampanii CloudZ RAT i pluginu Pheno, wykorzystującej Microsoft Phone Link do potencjalnej kradzieży danych i kodów OTP.

The Hacker News - opis ataku na relację między komputerem a telefonem przez Phone Link.

BleepingComputer - omówienie wykorzystania CloudZ RAT i Pheno do kradzieży SMS-ów oraz kodów OTP.

Microsoft Support - oficjalny opis konfiguracji wiadomości SMS w Phone Link.