巨大的 Android 漏洞导致数百万个加密钱包遭受黑客攻击

Microsoft Defender 安全研究团队最新发布的一份报告显示，流行的第三方 Android 软件开发工具包 (SDK) 中存在严重漏洞，导致数千万个加密货币钱包容易遭受数据盗窃。

该缺陷允许恶意应用程序绕过 Android 的核心安全沙箱。

威胁的范围

该漏洞影响了广泛的应用程序。由于存储数据的高价值性质，加密货币和数字钱包生态系统首当其冲。

Microsoft 发现受影响的第三方加密钱包应用程序安装量超过 3000 万。总曝光量超过5000万次安装。

如果被利用，该漏洞可能会暴露个人身份信息 (PII)、私人用户凭据以及存储在受影响应用程序私人目录深处的敏感财务数据。

幸运的是，微软指出，目前没有证据表明该漏洞曾被威胁行为者在野外积极利用。

“意图重定向”缺陷

EngageLab SDK 是开发人员用来管理推送通知和实时应用内消息传递的工具。该安全漏洞可追溯到特定组件 (MTCommonActivity)，该组件在构建过程后自动添加到应用程序的后台代码中。

由于该组件被广泛导出，因此同一 Android 设备上安装的其他应用程序可以访问它。

安装在同一设备上的恶意应用程序可以制作受操纵的消息（“意图”）并将其发送到易受攻击的加密钱包应用程序。

钱包应用程序将使用自己的可信身份和权限处理此意图。

这会欺骗钱包授予恶意应用程序对其私有数据目录的持久读写访问权限。

Android 生态系统迅速采取行动来减轻威胁。