ثغرة أمنية في تطبيق شائع تعرض عشرات الملايين من مستخدمي Android لخطر التعرض لمعلومات حساسة، وفقًا لباحثين من Microsoft

جدول المحتويات كشفت Microsoft عن ثغرة أمنية خطيرة في Android SDK والتي عرّضت أكثر من 30 مليون عملية تثبيت لمحفظة العملات المشفرة للخطر. أثر الخلل على EngageLab المستخدم على نطاق واسع EngageSDK، والذي تستخدمه العديد من تطبيقات المحفظة لميزات المراسلة الفورية. وفقًا لأبحاث الأمان التي أجرتها Microsoft، مكنت المشكلة التطبيقات الضارة الموجودة على نفس الجهاز من تجاوز إجراءات حماية وضع الحماية. قام Google Play منذ ذلك الحين بإزالة جميع التطبيقات المحددة باستخدام إصدارات SDK الضعيفة. وقالت مايكروسوفت إن المشكلة تركزت على نشاط أندرويد تم تصديره يسمى MTCommonActivity. تمت إضافة المكون تلقائيًا أثناء دمج البيان بعد أن قام المطورون باستيراد SDK. نظرًا لأنه ظهر بعد البناء، فمن المحتمل أن العديد من الفرق فاتته أثناء المراجعة. وهذا ترك ملفات APK الخاصة بالإنتاج مفتوحة للمخاطر الخفية. بدأ التدفق الضعيف عندما تلقى النشاط نية خارجية. يقوم كل من رد الاتصال onCreate() وonNewIntent() بتوجيه البيانات إلى ProcessIntent(). قامت هذه الطريقة باستخراج سلسلة URI وإعادة توجيهها بشكل أعمق في منطق SDK. أعيد بناء السلسلة في النهاية وأطلقت نية جديدة. أشارت مقالة Microsoft إلى حدوث فشل فادح في إحدى الطرق المساعدة. فبدلاً من إرجاع نية ضمنية آمنة، أعادت نية مستهدفة بشكل صريح. أدى ذلك إلى تغيير مسار الحل الطبيعي لنظام Android والسماح للتطبيقات المعادية بإعادة توجيه التنفيذ. ومن الناحية العملية، أطلق تطبيق المحفظة الضعيفة حمولة ضارة بامتيازاتها الخاصة. تفاقمت المخاطر لأن SDK استخدمت علامة URI_ALLOW_UNSAFE لنظام Android. سمح ذلك بأذونات القراءة والكتابة المستمرة لـ URI داخل الهدف المعاد توجيهه. يمكن للتطبيق الضار بعد ذلك الوصول إلى موفري المحتوى غير المصدرين. ومن هناك، أصبح من الممكن الوصول إلى ملفات المحفظة الحساسة وبيانات الاعتماد وبيانات المستخدم. حددت شركة Microsoft Security Vulnerability Research أولاً الخلل في الإصدار 4.5.4 من EngageSDK في أبريل 2025. ثم أبلغت EngageLab بموجب قواعد الكشف المنسقة. تلقى فريق أمان Android أيضًا التقرير لأن التطبيقات المتأثرة كانت موجودة على Google Play. وصل الإصلاح بعد أشهر في الإصدار 5.2.1 في 3 نوفمبر 2025. في الإصدار المصحح، قام EngageLab بتغيير النشاط الضعيف إلى غير مُصدَّر. يمنع هذا التغيير الفردي التطبيقات الخارجية من استدعاء المكون مباشرة. وقالت مايكروسوفت إنها لا تملك حاليًا أي دليل على الاستغلال على نطاق واسع. ومع ذلك، فقد حثت المطورين على التحديث على الفور. وشدد التقرير على أن أدوات تطوير البرامج (SDK) التابعة لجهات خارجية يمكنها توسيع أسطح هجوم المحفظة بصمت. تواجه تطبيقات التشفير مخاطر عالية لأنها غالبًا ما تقوم بتخزين المفاتيح وبيانات الاعتماد والمعرفات المالية. حتى العيوب البسيطة في المكتبة الأولية يمكن أن تنتشر عبر ملايين الأجهزة. وقد دفعت هذه الحالة إجمالي التعرض إلى أكثر من 50 مليون عملية تثبيت عند تضمين التطبيقات غير المتعلقة بالمحفظة. وقالت Microsoft أيضًا إن Android أضاف حماية تلقائية للتطبيقات الضعيفة المثبتة مسبقًا. تعمل عمليات التخفيف هذه على تقليل المخاطر أثناء انتقال المطورين إلى حزمة SDK الثابتة. وحثت الشركة الفرق على فحص البيانات المدمجة بعد كل تحديث للتبعية. يمكن لهذه المراجعة التقاط المكونات المصدرة قبل الإصدار.