مائیکرو سافٹ کے محققین کے مطابق، پاپولر ایپ میں سیکیورٹی کی کمزوری دسیوں ملین اینڈرائیڈ صارفین کو حساس معلومات کی نمائش کے خطرے میں ڈال دیتی ہے۔

فہرست فہرست مائیکروسافٹ نے Android SDK کے ایک شدید خطرے کا انکشاف کیا ہے جس نے 30 ملین سے زیادہ کرپٹو والیٹ انسٹال کو خطرے میں ڈال دیا ہے۔ اس خامی نے EngageLab کے وسیع پیمانے پر استعمال ہونے والے EngageSDK کو متاثر کیا، جسے بہت سے والیٹ ایپس پیغام رسانی کی خصوصیات کے لیے استعمال کرتی ہیں۔ مائیکروسافٹ کی سیکیورٹی ریسرچ کے مطابق، اس مسئلے نے ایک ہی ڈیوائس پر موجود بدنیتی پر مبنی ایپس کو سینڈ باکس کے تحفظات کو نظرانداز کرنے کے قابل بنا دیا۔ گوگل پلے نے تب سے کمزور SDK ورژنز کا استعمال کرتے ہوئے تمام شناخت شدہ ایپس کو ہٹا دیا ہے۔ مائیکرو سافٹ نے کہا کہ یہ مسئلہ ایم ٹی سی کامن ایکٹیویٹی نامی برآمد شدہ اینڈرائیڈ سرگرمی پر مرکوز ہے۔ ڈویلپرز کی جانب سے SDK درآمد کرنے کے بعد مینی فیسٹ انضمام کے دوران جزو خود بخود شامل ہو گیا تھا۔ چونکہ یہ تعمیر کے بعد ظاہر ہوا، اس لیے ممکنہ طور پر بہت سی ٹیمیں جائزہ کے دوران اس سے محروم ہوگئیں۔ اس نے پروڈکشن APK کو پوشیدہ خطرے کے لیے کھلا چھوڑ دیا۔ کمزور بہاؤ اس وقت شروع ہوا جب سرگرمی کو بیرونی ارادہ ملا۔ اس کا onCreate() اور onNewIntent() دونوں روٹ شدہ ڈیٹا کو پروسیس انٹنٹ() میں کال بیک کرتا ہے۔ اس طریقہ نے ایک URI سٹرنگ نکالی اور اسے SDK منطق میں مزید گہرائی میں بھیج دیا۔ سلسلہ آخرکار دوبارہ تعمیر ہوا اور ایک نیا ارادہ شروع کیا۔ مائیکروسافٹ کی تحریر نے نوٹ کیا کہ اہم ناکامی مددگار طریقہ میں ہوئی ہے۔ محفوظ مضمر ارادے کو واپس کرنے کے بجائے، اس نے واضح طور پر نشانہ بنایا ہوا واپس کر دیا۔ اس نے اینڈرائیڈ کا عام ریزولوشن پاتھ بدل دیا اور مخالف ایپس کو ری ڈائریکٹ ایگزیکیوشن کرنے دیا۔ عملی طور پر، کمزور والیٹ ایپ نے نقصان دہ پے لوڈ کو اپنے مراعات کے ساتھ لانچ کیا۔ خطرہ بڑھ گیا کیونکہ SDK نے Android کا URI_ALLOW_UNSAFE پرچم استعمال کیا۔ اس نے ری ڈائریکٹ شدہ ارادے کے اندر URI کی مستقل پڑھنے اور لکھنے کی اجازت دی۔ ایک بدنیتی پر مبنی ایپ پھر غیر برآمد شدہ مواد فراہم کرنے والوں تک رسائی حاصل کر سکتی ہے۔ وہاں سے، حساس والیٹ فائلیں، اسناد، اور صارف کا ڈیٹا قابل رسائی ہو گیا۔ مائیکروسافٹ سیکیورٹی کے خطرے کی تحقیق نے پہلی بار اپریل 2025 میں EngageSDK ورژن 4.5.4 میں خامی کی نشاندہی کی۔ اینڈرائیڈ سیکیورٹی ٹیم کو بھی رپورٹ موصول ہوئی کیونکہ متاثرہ ایپس گوگل پلے پر لائیو تھیں۔ ٹھیک مہینوں بعد 3 نومبر 2025 کو ورژن 5.2.1 میں پہنچا۔ پیچ شدہ ریلیز میں، EngageLab نے کمزور سرگرمی کو غیر برآمدی میں تبدیل کر دیا۔ یہ واحد تبدیلی بیرونی ایپس کو جزو کو براہ راست استعمال کرنے سے روکتی ہے۔ مائیکروسافٹ نے کہا کہ فی الحال اس کے پاس جنگلی استحصال کا کوئی ثبوت نہیں ہے۔ پھر بھی، اس نے ڈویلپرز کو فوری طور پر اپ ڈیٹ کرنے کی تاکید کی۔ رپورٹ میں زور دیا گیا ہے کہ فریق ثالث کے SDKs خاموشی سے بٹوے کے حملے کی سطحوں کو بڑھا سکتے ہیں۔ کرپٹو ایپس کو اونچے داؤ کا سامنا کرنا پڑتا ہے کیونکہ وہ اکثر چابیاں، اسناد، اور مالیاتی شناخت کنندگان کو محفوظ کرتے ہیں۔ یہاں تک کہ اپ اسٹریم لائبریری کی معمولی خامیاں بھی لاکھوں آلات میں پھیل سکتی ہیں۔ جب غیر والیٹ ایپس کو شامل کیا گیا تو اس کیس نے 50 ملین انسٹالز کی کل نمائش کو آگے بڑھا دیا۔ مائیکروسافٹ نے یہ بھی کہا کہ اینڈرائیڈ نے پہلے سے نصب شدہ کمزور ایپس کے لیے خودکار تحفظات شامل کیے ہیں۔ وہ تخفیف خطرے کو کم کرتی ہیں جبکہ ڈویلپرز مقررہ SDK پر منتقل ہوتے ہیں۔ کمپنی نے ٹیموں پر زور دیا کہ وہ ہر انحصار اپ ڈیٹ کے بعد ضم شدہ مینی فیسٹس کا معائنہ کریں۔ یہ جائزہ ریلیز سے پہلے برآمد شدہ اجزاء کو پکڑ سکتا ہے۔