Laut Microsoft-Forschern gefährdet eine Sicherheitslücke in einer beliebten App Dutzende Millionen Android-Nutzer durch die Offenlegung sensibler Informationen

Inhaltsverzeichnis Microsoft hat eine schwerwiegende Sicherheitslücke im Android SDK offengelegt, die mehr als 30 Millionen Krypto-Wallet-Installationen gefährdete. Der Fehler betraf das weit verbreitete EngageSDK von EngageLab, das viele Wallet-Apps für Push-Messaging-Funktionen verwendeten. Laut einer Sicherheitsstudie von Microsoft ermöglichte das Problem bösartigen Apps auf demselben Gerät, den Sandbox-Schutz zu umgehen. Google Play hat seitdem alle identifizierten Apps entfernt, die die anfälligen SDK-Versionen verwenden. Microsoft sagte, dass sich das Problem auf eine exportierte Android-Aktivität namens MTCommonActivity konzentrierte. Die Komponente wurde während der Manifestzusammenführung automatisch hinzugefügt, nachdem Entwickler das SDK importiert hatten. Da es erst nach der Erstellung erschien, haben es viele Teams bei der Überprüfung wahrscheinlich übersehen. Dadurch waren Produktions-APKs einem versteckten Risiko ausgesetzt. Der anfällige Fluss begann, als die Aktivität eine externe Absicht erhielt. Die Rückrufe onCreate() und onNewIntent() leiten beide Daten an ProcessIntent() weiter. Diese Methode extrahierte eine URI-Zeichenfolge und leitete sie tiefer in die SDK-Logik weiter. Die Kette wurde schließlich wieder aufgebaut und startete eine neue Absicht. Im Artikel von Microsoft wurde darauf hingewiesen, dass der kritische Fehler bei einer Hilfsmethode aufgetreten sei. Anstatt eine sichere implizite Absicht zurückzugeben, wurde eine explizit gezielte Absicht zurückgegeben. Dadurch wurde der normale Auflösungspfad von Android geändert und die Ausführung feindlicher Apps wurde umgeleitet. In der Praxis startete die anfällige Wallet-App die bösartige Nutzlast mit ihren eigenen Privilegien. Das Risiko verschlimmerte sich, weil das SDK das URI_ALLOW_UNSAFE-Flag von Android verwendete. Dies ermöglichte dauerhafte Lese- und Schreib-URI-Berechtigungen innerhalb der umgeleiteten Absicht. Eine bösartige App könnte sich dann Zugang zu nicht exportierten Inhaltsanbietern verschaffen. Von dort aus waren sensible Wallet-Dateien, Anmeldeinformationen und Benutzerdaten zugänglich. Microsoft Security Vulnerability Research identifizierte den Fehler erstmals im April 2025 in der EngageSDK-Version 4.5.4. Anschließend wurde EngageLab im Rahmen koordinierter Offenlegungsregeln benachrichtigt. Das Android-Sicherheitsteam erhielt den Bericht auch, weil betroffene Apps bei Google Play live waren. Der Fix kam Monate später in Version 5.2.1 am 3. November 2025 an. In der gepatchten Version änderte EngageLab die anfällige Aktivität in „nicht exportiert“. Diese einzige Änderung verhindert, dass externe Apps die Komponente direkt aufrufen. Microsoft gab an, dass es derzeit keine Beweise für eine In-the-Wild-Ausbeutung gebe. Dennoch wurden die Entwickler aufgefordert, sofort zu aktualisieren. Der Bericht betont, dass SDKs von Drittanbietern die Angriffsfläche für Wallets stillschweigend erweitern können. Bei Krypto-Apps besteht ein erhöhtes Risiko, da sie häufig Schlüssel, Anmeldeinformationen und Finanzkennungen speichern. Selbst geringfügige Fehler in der Upstream-Bibliothek können sich auf Millionen von Geräten auswirken. Dieser Fall erhöhte die Gesamtexponierung auf über 50 Millionen Installationen, wenn Nicht-Wallet-Apps einbezogen wurden. Microsoft sagte außerdem, dass Android automatische Schutzfunktionen für zuvor installierte anfällige Apps hinzugefügt habe. Diese Abhilfemaßnahmen reduzieren das Risiko, während Entwickler zum festen SDK migrieren. Das Unternehmen forderte die Teams dazu auf, zusammengeführte Manifeste nach jedem Abhängigkeitsupdate zu überprüfen. Diese Überprüfung kann exportierte Komponenten vor der Veröffentlichung erfassen.