Una vulnerabilidad de seguridad en una aplicación popular pone a decenas de millones de usuarios de Android en riesgo de exposición de información confidencial, según investigadores de Microsoft

Microsoft ha revelado una vulnerabilidad grave del SDK de Android que puso en riesgo más de 30 millones de instalaciones de billeteras criptográficas. La falla afectó al ampliamente utilizado EngageSDK de EngageLab, que muchas aplicaciones de billetera usaban para funciones de mensajería push. Según la investigación de seguridad de Microsoft, el problema permitió que aplicaciones maliciosas en el mismo dispositivo eludieran las protecciones de la zona de pruebas. Desde entonces, Google Play ha eliminado todas las aplicaciones identificadas que utilizan las versiones vulnerables del SDK. Microsoft dijo que el problema se centró en una actividad de Android exportada llamada MTCommonActivity. El componente se agregó automáticamente durante la fusión del manifiesto después de que los desarrolladores importaron el SDK. Debido a que apareció después de la compilación, muchos equipos probablemente lo pasaron por alto durante la revisión. Eso dejó los APK de producción expuestos a riesgos ocultos. El flujo vulnerable comenzó cuando la actividad recibió una intención externa. Sus devoluciones de llamada onCreate() y onNewIntent() enrutan datos a ProcessIntent(). Ese método extrajo una cadena URI y la reenvió más profundamente a la lógica del SDK. La cadena finalmente se reconstruyó y lanzó una nueva intención. El artículo de Microsoft señaló que la falla grave ocurrió en un sistema auxiliar. En lugar de devolver una intención implícita segura, devolvió una intención explícita. Eso cambió la ruta de resolución normal de Android y permitió que las aplicaciones hostiles redireccionaran la ejecución. En la práctica, la aplicación de billetera vulnerable lanzó la carga maliciosa con sus propios privilegios. El riesgo empeoró porque el SDK utilizó el indicador URI_ALLOW_UNSAFE de Android. Eso permitió permisos persistentes de lectura y escritura de URI dentro de la intención redirigida. Una aplicación maliciosa podría entonces obtener acceso a proveedores de contenido no exportados. A partir de ahí, se pudo acceder a archivos confidenciales de billetera, credenciales y datos de usuario. Microsoft Security Vulnerability Research identificó por primera vez la falla en EngageSDK versión 4.5.4 en abril de 2025. Luego notificó a EngageLab según reglas de divulgación coordinadas. El equipo de seguridad de Android también recibió el informe porque las aplicaciones afectadas estaban disponibles en Google Play. La solución llegó meses después en la versión 5.2.1, el 3 de noviembre de 2025. En la versión parcheada, EngageLab cambió la actividad vulnerable a no exportada. Ese único cambio impide que las aplicaciones externas invoquen el componente directamente. Microsoft dijo que actualmente no tiene evidencia de explotación salvaje. Aun así, instó a los desarrolladores a actualizar de inmediato. El informe enfatizó que los SDK de terceros pueden expandir silenciosamente las superficies de ataque de billeteras. Las aplicaciones criptográficas enfrentan riesgos elevados porque a menudo almacenan claves, credenciales e identificadores financieros. Incluso los fallos menores de la biblioteca pueden afectar a millones de dispositivos. Este caso elevó la exposición total a más de 50 millones de instalaciones cuando se incluyeron aplicaciones que no son de billetera. Microsoft también dijo que Android agregó protecciones automáticas para aplicaciones vulnerables instaladas previamente. Esas mitigaciones reducen el riesgo mientras los desarrolladores migran al SDK fijo. La compañía instó a los equipos a inspeccionar los manifiestos fusionados después de cada actualización de dependencia. Esa revisión puede detectar los componentes exportados antes de su lanzamiento.