Cryptonews

Aufgrund der massiven Android-Sicherheitslücke sind Millionen von Krypto-Wallets Hackern ausgesetzt

Quelle
cryptonewstrend.com
Veröffentlicht
Aufgrund der massiven Android-Sicherheitslücke sind Millionen von Krypto-Wallets Hackern ausgesetzt

Laut einem neu veröffentlichten Bericht des Microsoft Defender Security Research Teams hat eine schwerwiegende Sicherheitslücke in einem beliebten Android-Software-Entwicklungskit (SDK) eines Drittanbieters zig Millionen Kryptowährungs-Wallets anfällig für Datendiebstahl gemacht.

Der Fehler hat es bösartigen Anwendungen ermöglicht, die Kernsicherheits-Sandbox von Android zu umgehen.

Der Umfang der Bedrohung

Die Sicherheitslücke betrifft eine Vielzahl von Anwendungen. Das Kryptowährungs- und digitale Geldbörsen-Ökosystem war aufgrund des hohen Wertes der gespeicherten Daten am stärksten betroffen.

Microsoft hat über 30 Millionen Installationen betroffener Krypto-Wallet-Anwendungen von Drittanbietern identifiziert. Die Gesamtexposition überstieg 50 Millionen Installationen.

Bei Ausnutzung der Sicherheitslücke könnten personenbezogene Daten (PII), private Benutzeranmeldeinformationen und vertrauliche Finanzdaten offengelegt werden, die tief in den privaten Verzeichnissen der betroffenen App gespeichert sind.

Glücklicherweise stellte Microsoft fest, dass es derzeit keine Hinweise darauf gibt, dass diese Sicherheitslücke jemals aktiv von Bedrohungsakteuren ausgenutzt wurde.

Der Fehler „Absichtsumleitung“.

Das EngageLab SDK ist ein Tool, das von Entwicklern zur Verwaltung von Push-Benachrichtigungen und In-App-Nachrichten in Echtzeit verwendet wird. Die Sicherheitslücke wurde auf eine bestimmte Komponente (MTCommonActivity) zurückgeführt, die nach dem Build-Prozess automatisch zum Hintergrundcode einer Anwendung hinzugefügt wurde.

Da diese Komponente weitgehend exportiert wurde, wurde sie für andere Anwendungen zugänglich, die auf demselben Android-Gerät installiert waren.

Eine bösartige App, die auf demselben Gerät installiert ist, könnte eine manipulierte Nachricht (eine „Absicht“) erstellen und an die anfällige Krypto-Wallet-App senden.

Die Wallet-App würde diese Absicht mithilfe ihrer eigenen vertrauenswürdigen Identität und Berechtigungen verarbeiten.

Dadurch wurde das Wallet dazu verleitet, der bösartigen App dauerhaften Lese- und Schreibzugriff auf ihre privaten Datenverzeichnisse zu gewähren.

Im gesamten Android-Ökosystem wurden rasch Maßnahmen ergriffen, um die Bedrohung einzudämmen.