微软研究人员表示，流行应用程序中的安全漏洞使数千万 Android 用户面临敏感信息泄露的风险

微软披露了一个严重的 Android SDK 漏洞，该漏洞使超过 3000 万个加密钱包安装面临风险。该缺陷影响了 EngageLab 广泛使用的 EngageSDK，许多钱包应用程序都使用该 SDK 来实现推送消息功能。根据微软的安全研究，该问题使同一设备上的恶意应用程序能够绕过沙箱保护。此后，Google Play 已删除所有已识别的使用易受攻击的 SDK 版本的应用程序。微软表示，问题集中在一个名为 MTCommonActivity 的导出 Android 活动上。该组件是开发者导入SDK后，在manifest合并时自动添加的。由于它是在构建后出现的，因此许多团队可能在审核期间错过了它。这使得生产 APK 面临隐藏的风险。当活动收到外部意图时，脆弱的流程就开始了。它的 onCreate() 和 onNewIntent() 回调都将数据路由到 processIntent() 中。该方法提取 URI 字符串并将其更深入地转发到 SDK 逻辑中。该连锁店最终重建并推出了新的意图。微软的文章指出，严重故障发生在辅助方法中。它没有返回安全的隐式意图，而是返回了明确的目标意图。这改变了 Android 的正常解析路径，并让恶意应用程序重定向执行。实际上，易受攻击的钱包应用程序以其自己的权限启动了恶意负载。由于 SDK 使用 Android 的 URI_ALLOW_UNSAFE 标志，风险变得更加严重。这允许在重定向意图中持久读取和写入 URI 权限。然后，恶意应用程序可以获得对非导出内容提供商的访问权限。从那里，可以访问敏感的钱包文件、凭证和用户数据。 Microsoft 安全漏洞研究于 2025 年 4 月首次发现 EngageSDK 4.5.4 版中的缺陷。然后根据协调披露规则通知了 EngageLab。 Android 安全团队也收到了该报告，因为受影响的应用程序已在 Google Play 上运行。几个月后，修复程序于 2025 年 11 月 3 日在版本 5.2.1 中发布。在修补版本中，EngageLab 将易受攻击的活动更改为非导出。这一更改会阻止外部应用程序直接调用该组件。微软表示，目前没有任何证据表明存在野外利用行为。尽管如此，它还是敦促开发者立即更新。该报告强调，第三方 SDK 可以悄悄扩大钱包攻击面。加密应用程序面临着更高的风险，因为它们经常存储密钥、凭证和财务标识符。即使是很小的上游库缺陷也会波及数百万台设备。当包括非钱包应用程序时，此案例使总曝光量超过 5000 万次安装。微软还表示，Android 为之前安装的易受攻击的应用程序添加了自动保护。这些缓解措施可以降低开发人员迁移到固定 SDK 时的风险。该公司敦促团队在每次依赖项更新后检查合并的清单。该审查可以在发布之前捕获导出的组件。