佳佳币资讯站
EngageLab的Android SDK存在漏洞,暴露了加密货币钱包的安全风险
微软针对该漏洞的修复时间表以及安卓钱包的缓解措施指南
微软发现,EngageLab SDK中的一个漏洞可能会使全球超过3亿部安卓设备上的私人钱包数据受到威胁。
该漏洞利用了安卓的意图机制,使得恶意应用能够获得持久的读写权限。
EngageLab在5.2.1版本中通过将MTCommonActivity设置为非导出状态解决了这一问题。
谷歌应用商店已经下架了受影响的钱包应用,同时安卓系统也为已安装的版本增加了安全防护措施。
EngageLab Android SDK漏洞暴露加密货币钱包攻击面
微软公开了一个严重的安卓SDK漏洞,该漏洞使得超过3亿次的加密货币钱包安装面临风险。该漏洞影响了EngageLab广泛使用的EngageSDK,许多钱包应用依赖于此SDK来实现推送消息功能。
根据微软的安全研究,这个问题使得同一设备上的恶意应用能够绕过沙箱保护。谷歌应用商店随后下架了所有使用受影响SDK版本的应用。
微软指出,问题的核心在于一个名为MTCommonActivity的导出安卓活动组件。该组件在开发者导入SDK后,在清单文件合并过程中被自动添加。由于它出现在构建之后,许多开发团队在审查时可能忽略了它,导致生产版本的APK文件存在风险。
当该活动组件接收到外部意图时,漏洞利用链便随之启动。它的onCreate()和onNewIntent()回调函数都将数据路由至processIntent()方法。该方法提取一个URI字符串并将其传递至SDK逻辑深处。最终,该链会重建并启动一个新的意图。
微软的报告指出,关键缺陷发生在一个辅助方法中。该方法没有返回安全的隐式意图,而是返回了一个明确指定目标的意图。这改变了安卓系统的正常解析路径,使得恶意应用能够重定向执行流程。
在实际攻击中,存在漏洞的钱包应用会以其自身权限启动恶意负载。
风险进一步加剧,因为该SDK使用了安卓的URI_ALLOW_UNSAFE标志。这使得重定向后的意图内部能够获得持久的URI读写权限。随后,恶意应用便可访问未导出的内容提供者,从而获取敏感的钱包文件、凭证和用户数据。
微软漏洞修复时间线与安卓钱包缓解指南
微软安全漏洞研究团队于2025年4月首次在EngageSDK版本4.5.4中发现了该漏洞,随后根据协调披露规则通知了EngageLab。由于受影响的应用已在谷歌应用商店上架,安卓安全团队也收到了此报告。
修复方案于数月后的2025年11月3日随版本5.2.1发布。在修复版本中,EngageLab将有漏洞的活动组件更改为非导出状态。这一更改阻止了外部应用直接调用该组件。微软表示,目前未发现该漏洞在野被利用的证据,但仍敦促开发者立即更新。
报告强调,第三方SDK可能悄无声息地扩大钱包应用的受攻击面。加密货币应用面临的风险更高,因为它们通常存储密钥、凭证和财务标识符。即便是上游库中的微小缺陷,也可能波及数百万台设备。考虑到非钱包类应用也受影响,此漏洞总计波及超过5亿次安装。
微软还表示,安卓系统已为先前安装的易受攻击应用添加了自动防护措施。这些缓解措施可在开发者迁移至修复后的SDK期间降低风险。公司建议开发团队在每次依赖项更新后检查合并的清单文件,以便在发布前发现导出的组件。