Une vulnérabilité de sécurité dans une application populaire expose des dizaines de millions d'utilisateurs d'Android à un risque d'exposition à des informations sensibles, selon des chercheurs de Microsoft

Table des matières Microsoft a divulgué une grave vulnérabilité du SDK Android qui met en danger plus de 30 millions d'installations de portefeuille cryptographique. La faille affectait EngageSDK, largement utilisé par EngageLab, que de nombreuses applications de portefeuille utilisaient pour les fonctionnalités de messagerie push. Selon les recherches de sécurité de Microsoft, le problème permettait aux applications malveillantes présentes sur le même appareil de contourner les protections du bac à sable. Google Play a depuis supprimé toutes les applications identifiées utilisant les versions vulnérables du SDK. Microsoft a déclaré que le problème était centré sur une activité Android exportée appelée MTCommonActivity. Le composant a été automatiquement ajouté lors de la fusion du manifeste après que les développeurs ont importé le SDK. Parce qu'il est apparu après la construction, de nombreuses équipes l'ont probablement manqué lors de l'examen. Cela laissait les APK de production exposés à des risques cachés. Le flux vulnérable a commencé lorsque l’activité a reçu une intention externe. Ses rappels onCreate() et onNewIntent() rappellent tous deux les données acheminées vers processIntent(). Cette méthode a extrait une chaîne URI et l'a transmise plus profondément dans la logique du SDK. La chaîne s'est finalement reconstruite et a lancé une nouvelle intention. L’article de Microsoft souligne que l’échec critique s’est produit dans une méthode d’assistance. Au lieu de renvoyer une intention implicite sûre, il en renvoyait une intention explicitement ciblée. Cela a modifié le chemin de résolution normal d’Android et a permis aux applications hostiles de rediriger l’exécution. En pratique, l’application portefeuille vulnérable a lancé la charge utile malveillante avec ses propres privilèges. Le risque s’est aggravé car le SDK utilisait l’indicateur URI_ALLOW_UNSAFE d’Android. Cela permettait des autorisations URI persistantes de lecture et d'écriture dans l'intention redirigée. Une application malveillante pourrait alors accéder aux fournisseurs de contenus non exportés. À partir de là, les fichiers de portefeuille sensibles, les informations d’identification et les données utilisateur sont devenus accessibles. Microsoft Security Vulnerability Research a identifié pour la première fois la faille dans EngageSDK version 4.5.4 en avril 2025. Il a ensuite notifié EngageLab selon des règles de divulgation coordonnées. L'équipe de sécurité Android a également reçu le rapport car les applications concernées étaient en ligne sur Google Play. Le correctif est arrivé des mois plus tard dans la version 5.2.1, le 3 novembre 2025. Dans la version corrigée, EngageLab a modifié l'activité vulnérable en non-exportée. Ce seul changement empêche les applications extérieures d’appeler directement le composant. Microsoft a déclaré qu'il n'avait actuellement aucune preuve d'exploitation dans la nature. Néanmoins, il a exhorté les développeurs à mettre à jour immédiatement. Le rapport souligne que les SDK tiers peuvent étendre silencieusement les surfaces d'attaque des portefeuilles. Les applications cryptographiques sont confrontées à des enjeux élevés car elles stockent souvent des clés, des informations d’identification et des identifiants financiers. Même des failles mineures dans les bibliothèques en amont peuvent se répercuter sur des millions d’appareils. Cette affaire a poussé l’exposition totale au-dessus de 50 millions d’installations lorsque les applications non-portefeuille étaient incluses. Microsoft a également déclaré qu'Android avait ajouté des protections automatiques pour les applications vulnérables précédemment installées. Ces atténuations réduisent les risques pendant que les développeurs migrent vers le SDK fixe. La société a exhorté les équipes à inspecter les manifestes fusionnés après chaque mise à jour de dépendance. Cet examen peut détecter les composants exportés avant leur publication.