По мнению исследователей Microsoft, уязвимость безопасности в популярном приложении подвергает десятки миллионов пользователей Android риску раскрытия конфиденциальной информации.

Оглавление Microsoft раскрыла серьезную уязвимость Android SDK, которая поставила под угрозу более 30 миллионов установок криптокошелька. Уязвимость затронула широко используемый EngageSDK от EngageLab, который многие приложения-кошельки используют для функций push-сообщений. Согласно исследованию безопасности Microsoft, эта проблема позволяла вредоносным приложениям на одном устройстве обходить защиту песочницы. С тех пор Google Play удалил все идентифицированные приложения, использующие уязвимые версии SDK. В Microsoft заявили, что проблема связана с экспортированной активностью Android под названием MTCommonActivity. Компонент был автоматически добавлен во время слияния манифеста после того, как разработчики импортировали SDK. Поскольку он появился уже после сборки, многие команды, вероятно, пропустили его во время проверки. Это сделало рабочие APK открытыми для скрытого риска. Уязвимый поток начался, когда деятельность получила внешнее намерение. Обратные вызовы onCreate() и onNewIntent() направляют данные в процессIntent(). Этот метод извлек строку URI и перенаправил ее глубже в логику SDK. Со временем сеть перестроилась и запустила новое направление. В отчете Microsoft отмечается, что критический сбой произошел во вспомогательном методе. Вместо возврата безопасного неявного намерения оно вернуло явно целевое. Это изменило обычный путь разрешения Android и позволило враждебным приложениям перенаправить выполнение. На практике уязвимое приложение-кошелек запускало вредоносную полезную нагрузку со своими собственными привилегиями. Риск увеличился, поскольку SDK использовал флаг Android URI_ALLOW_UNSAFE. Это позволило сохранить постоянные разрешения URI на чтение и запись внутри перенаправленного намерения. Вредоносное приложение может затем получить доступ к поставщикам неэкспортируемого контента. После этого стали доступны конфиденциальные файлы кошелька, учетные данные и пользовательские данные. Microsoft Security Vulnerability Research впервые обнаружила уязвимость в EngageSDK версии 4.5.4 в апреле 2025 года. Затем она уведомила EngageLab в соответствии с скоординированными правилами раскрытия информации. Команда безопасности Android также получила отчет, поскольку затронутые приложения были доступны в Google Play. Исправление появилось несколько месяцев спустя, в версии 5.2.1, 3 ноября 2025 года. В исправленном выпуске EngageLab изменил уязвимую активность на неэкспортируемую. Это единственное изменение не позволяет внешним приложениям напрямую вызывать компонент. Microsoft заявила, что в настоящее время у нее нет доказательств эксплуатации в реальных условиях. Тем не менее, он призвал разработчиков немедленно обновиться. В отчете подчеркивается, что сторонние SDK могут незаметно расширять возможности атак на кошельки. Криптоприложения сталкиваются с повышенными ставками, поскольку они часто хранят ключи, учетные данные и финансовые идентификаторы. Даже незначительные дефекты исходной библиотеки могут отразиться на миллионах устройств. В этом случае общее количество установок превысило 50 миллионов, когда были включены приложения, не относящиеся к кошельку. Microsoft также сообщила, что в Android добавлена ​​автоматическая защита для ранее установленных уязвимых приложений. Эти меры снижают риск при переходе разработчиков на фиксированный SDK. Компания призвала команды проверять объединенные манифесты после каждого обновления зависимостей. Этот обзор может выявить экспортированные компоненты перед выпуском.