根據 Microsoft Defender 安全研究團隊最新發布的報告,一款流行的第三方 Android 軟體開發套件 (SDK) 中的嚴重漏洞,導致數千萬個加密貨幣錢包面臨數據竊取的風險。
此漏洞讓惡意應用程式能夠繞過 Android 的核心安全沙盒。
該漏洞影響了廣泛的應用程式。由於儲存數據的高價值性質,加密貨幣和數位錢包生態系統首當其衝地受到了影響。
微軟發現超過 3000 萬個受影響的第三方加密錢包應用程式安裝。總曝險量超過 5000 萬次安裝。
如果被利用,該漏洞可能已經暴露個人身份資訊 (PII)、私人使用者憑證,以及儲存在受影響應用程式私人目錄中的敏感財務數據。
幸運的是,微軟指出,目前沒有證據表明該漏洞曾被威脅行為者實際利用。
EngageLab SDK 是一種開發人員用來管理推播通知和即時應用程式內訊息的工具。此安全漏洞可追溯到一個特定組件 (MTCommonActivity),該組件在建置過程後自動添加到應用程式的背景代碼中。
由於此組件被廣泛導出,因此它可供安裝在同一 Android 設備上的其他應用程式存取。
安裝在同一設備上的惡意應用程式可以製作一個經過篡改的訊息(一個「意圖」),並將其發送到易受攻擊的加密錢包應用程式。
錢包應用程式將使用其自身受信任的身份和權限來處理此意圖。
這欺騙了錢包,使其授予惡意應用程式對其私人數據目錄的持久讀寫權限。
Android 生態系統已迅速採取行動來緩解此威脅。
