Cryptonews

Массивная уязвимость Android сделала миллионы криптокошельков уязвимыми для хакеров

Источник
cryptonewstrend.com
Опубликовано
Массивная уязвимость Android сделала миллионы криптокошельков уязвимыми для хакеров

Согласно недавно опубликованному отчету исследовательской группы безопасности Microsoft Defender, серьезная уязвимость в популярном стороннем пакете разработки программного обеспечения (SDK) для Android сделала десятки миллионов криптовалютных кошельков уязвимыми для кражи данных.

Уязвимость позволила вредоносным приложениям обойти базовую изолированную среду безопасности Android.

Масштаб угрозы

Уязвимость затронула широкий спектр приложений. Криптовалюта и экосистема цифровых кошельков приняли на себя основной удар из-за высокой стоимости хранимых данных.

Microsoft выявила более 30 миллионов установок затронутых сторонних приложений криптокошельков. Общий объем экспозиции превысил 50 миллионов установок.

В случае эксплуатации уязвимость может привести к раскрытию личной информации (PII), личных учетных данных пользователя и конфиденциальных финансовых данных, хранящихся глубоко в частных каталогах уязвимого приложения.

К счастью, Microsoft отметила, что в настоящее время нет никаких доказательств того, что эта уязвимость когда-либо активно использовалась злоумышленниками в дикой природе.

Ошибка «перенаправления намерений»

EngageLab SDK — это инструмент, используемый разработчиками для управления push-уведомлениями и обменом сообщениями в приложениях в режиме реального времени. Уязвимость безопасности была связана с конкретным компонентом (MTCommonActivity), который автоматически добавлялся в фоновый код приложения после процесса сборки.

Поскольку этот компонент широко экспортировался, он стал доступен другим приложениям, установленным на том же устройстве Android.

Вредоносное приложение, установленное на том же устройстве, может создать манипулируемое сообщение («намерение») и отправить его в уязвимое приложение криптокошелька.

Приложение-кошелек будет обрабатывать это намерение, используя свою собственную доверенную личность и разрешения.

Это заставило кошелек предоставить вредоносному приложению постоянный доступ на чтение и запись к своим личным каталогам данных.

В экосистеме Android были приняты срочные меры для смягчения угрозы.