Security

EngageSDK Android-sårbarhed ramte millioner

3 min læsning

Resumé

Microsoft har offentliggjort en alvorlig intent redirection-fejl i tredjepartsbiblioteket EngageSDK til Android, hvilket potentielt udsatte millioner af brugere af crypto wallet-apps for dataeksponering og privilege escalation. Problemet blev rettet i EngageSDK version 5.2.1, og sagen understreger den voksende sikkerhedsrisiko ved uigennemsigtige afhængigheder i mobilappens supply chain.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har offentliggjort et alvorligt Android-sikkerhedsproblem i et udbredt tredjepartsbibliotek, EngageSDK. Selvom fejlen ikke blev observeret udnyttet i praksis, påvirkede den apps installeret i meget stor skala og er en påmindelse om, at tredjeparts-SDK'er diskret kan introducere betydelig supply chain-risiko i ellers betroede mobilapps.

Hvad skete der

Sårbarheden er en intent redirection-fejl i EngageSDK, et bibliotek der bruges til beskeder og push-notifikationer i Android-apps.

Vigtige detaljer omfatter:

  • Problemet gjorde det muligt for en ondsindet app på samme enhed at misbruge den sårbare apps betroede kontekst.
  • Dette kunne potentielt føre til uautoriseret adgang til beskyttede komponenter, eksponering af følsomme data og privilege escalation.
  • Microsoft oplyste, at mere end 30 millioner installationer af tredjeparts crypto wallet-apps alene potentielt var udsat for risiko.
  • Fejlen blev sporet til en eksporteret Android-aktivitet, MTCommonActivity, som blev tilføjet via SDK'et under build-processen.
  • Fordi den vises i det flettede manifest efter build, kan udviklere overse den under normal gennemgang.

Microsoft koordinerede offentliggørelsen med EngageLab og Android Security Team. Problemet blev løst i EngageSDK version 5.2.1 den 3. november 2025.

Hvorfor dette er vigtigt for sikkerhedsteams

Denne offentliggørelse er vigtig ud over Android-wallets. Den viser hvordan:

  • Tredjeparts-SDK'er kan udvide angrebsfladen uden tydelig synlighed
  • Eksporterede komponenter kan skabe utilsigtede tillidsgrænser mellem apps
  • Svagheder i mobilappens supply chain kan påvirke millioner af brugere på én gang

Android har også tilføjet platformbaserede afværgeforanstaltninger mod denne specifikke EngageSDK-risiko, og apps identificeret som sårbare blev fjernet fra Google Play. Microsoft bemærkede, at brugere, som allerede havde downloadet sårbare apps, nu har ekstra beskyttelse.

Indvirkning på administratorer og udviklere

For sikkerhedsadministratorer er dette et tydeligt eksempel på, hvorfor styring af mobilapplikationer skal omfatte gennemgang af afhængigheder, ikke kun app-omdømme eller godkendelse i app stores.

For udviklere og DevSecOps-teams er de vigtigste læringer:

  • Gennemgå flettede Android-manifester, ikke kun kildemanifester
  • Revider eksporterede aktiviteter og andre eksponerede komponenter
  • Valider intent-håndtering og antagelser om tillid mellem apps
  • Spor tredjeparts-SDK-versioner som en del af styring af software supply chain

Anbefalede næste skridt

  • Opgrader EngageSDK straks til version 5.2.1 eller nyere, hvis det findes i nogen Android-apps.
  • Gennemgå mobilapps for eksporterede komponenter tilføjet af afhængigheder.
  • Tilføj analyse af afhængigheder og manifester til sikkerhedskontroller i CI/CD.
  • Brug Microsofts vejledning til detektion og indikatorer fra den oprindelige rådgivning til at vurdere eksponering.

Denne hændelse understreger en bredere pointe: mobil sikkerhed formes i stigende grad af de biblioteker, apps er afhængige af, ikke kun af den kode udviklere selv skriver direkte.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Relaterede indlæg

Security

Storm-2755 lønangreb rammer canadiske ansatte

Microsoft har beskrevet en økonomisk motiveret Storm-2755-kampagne, der målretter canadiske ansatte med angreb på lønomdirigering. Trusselsaktøren brugte SEO poisoning, malvertising og adversary-in-the-middle-teknikker til at stjæle sessioner, omgå ældre MFA og ændre direct deposit-oplysninger, hvilket gør phishing-resistent MFA og sessionsovervågning til kritiske forsvar.

Security

DNS-kapringsangreb via SOHO-routere: Microsoft advarer

Microsoft Threat Intelligence oplyser, at Forest Blizzard har kompromitteret sårbare hjemme- og small-office-routere for at kapre DNS-trafik og i nogle tilfælde muliggøre adversary-in-the-middle-angreb mod målrettede forbindelser. Kampagnen er vigtig for IT-teams, fordi uadministrerede SOHO-enheder brugt af fjern- og hybridmedarbejdere kan eksponere cloudadgang og følsomme data, selv når virksomhedsmiljøer forbliver sikre.

Security

Storm-1175 Medusa ransomware rammer websystemer

Microsoft Threat Intelligence advarer om, at Storm-1175 hurtigt udnytter sårbare internetvendte systemer til at udrulle Medusa ransomware, nogle gange inden for 24 timer efter første adgang. Gruppens fokus på nyligt offentliggjorte sårbarheder, web shells, RMM tools og hurtig lateral bevægelse gør hurtig patching, eksponeringsstyring og detektion efter kompromittering afgørende for forsvarere.

Security

AI-drevet device code phishing eskalerer

Microsoft Defender Security Research beskrev en storstilet phishingkampagne, der misbruger OAuth device code flow med AI-genererede lokkemidler, dynamisk kodegenerering og automatiseret backend-infrastruktur. Kampagnen øger risikoen for organisationer, fordi den forbedrer angribernes succesrate, omgår traditionelle detektionsmønstre og muliggør token-tyveri, vedvarende inbox rules og rekognoscering via Microsoft Graph.

Security

AI-cyberangreb øger trusler i hele angrebskæden

Microsoft advarer om, at trusselsaktører nu indlejrer AI i hele cyberangrebets livscyklus, fra rekognoscering og phishing til malwareudvikling og aktiviteter efter kompromittering. For forsvarere betyder det hurtigere og mere præcise angreb, højere succesrater for phishing og et voksende behov for at styrke identitet, MFA-beskyttelse og synlighed i AI-drevne angrebsflader.

Security

Cookie-styrede PHP-webshells på Linux undviger detektion

Microsoft advarer om, at trusselsaktører bruger HTTP-cookies til at styre PHP-webshells i Linux-hostingmiljøer, hvilket hjælper skadelig kode med at forblive inaktiv, medmindre bestemte cookie-værdier er til stede. Teknikken reducerer synligheden i rutinemæssige logs, understøtter persistens via cron jobs og understreger behovet for stærkere overvågning, webbeskyttelse og endpoint-detektion på hostede Linux-workloads.