Security

EngageSDK Android-Sicherheitslücke gefährdete Wallets

3 Min. Lesezeit

Zusammenfassung

Microsoft hat eine schwerwiegende Intent-Redirection-Sicherheitslücke im Drittanbieter-EngageSDK für Android offengelegt, durch die Millionen von Nutzern von Crypto-Wallets potenziell dem Risiko von Datenoffenlegung und Privilegienausweitung ausgesetzt waren. Das Problem wurde in EngageSDK Version 5.2.1 behoben und unterstreicht das wachsende Sicherheitsrisiko intransparenter Abhängigkeiten in der Mobile-App-Lieferkette.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung

Microsoft hat ein schwerwiegendes Android-Sicherheitsproblem in einer weit verbreiteten Drittanbieter-Bibliothek, EngageSDK, offengelegt. Zwar wurde keine Ausnutzung in freier Wildbahn festgestellt, doch betraf die Schwachstelle Apps in großem Maßstab und erinnert daran, dass SDKs von Drittanbietern unbemerkt erhebliche Supply-Chain-Risiken in ansonsten vertrauenswürdige Mobile-Apps einbringen können.

Was passiert ist

Die Sicherheitslücke ist eine Intent-Redirection-Schwachstelle in EngageSDK, einer Bibliothek für Messaging und Push-Benachrichtigungen in Android-Apps.

Wichtige Details sind:

  • Das Problem ermöglichte es einer bösartigen App auf demselben Gerät, den vertrauenswürdigen Kontext der anfälligen App zu missbrauchen.
  • Dies konnte potenziell zu unbefugtem Zugriff auf geschützte Komponenten, zur Offenlegung sensibler Daten und zu einer Privilegienausweitung führen.
  • Microsoft erklärte, dass allein mehr als 30 Millionen Installationen von Crypto-Wallet-Apps von Drittanbietern potenziell gefährdet waren.
  • Die Schwachstelle wurde auf eine exportierte Android-Aktivität, MTCommonActivity, zurückgeführt, die während des Build-Prozesses durch das SDK hinzugefügt wurde.
  • Da sie erst nach dem Build im zusammengeführten Manifest erscheint, können Entwickler sie bei einer normalen Überprüfung leicht übersehen.

Microsoft koordinierte die Offenlegung mit EngageLab und dem Android Security Team. Das Problem wurde am 3. November 2025 in EngageSDK Version 5.2.1 behoben.

Warum das für Sicherheitsteams wichtig ist

Diese Offenlegung ist auch über Android-Wallets hinaus relevant. Sie zeigt, wie:

  • SDKs von Drittanbietern die Angriffsfläche ohne klare Transparenz erweitern können
  • exportierte Komponenten unbeabsichtigte Vertrauensgrenzen zwischen Apps schaffen können
  • Schwächen in der Mobile-App-Supply-Chain Millionen von Nutzern gleichzeitig betreffen können

Android hat außerdem Plattform-Mitigationsmaßnahmen für dieses spezifische EngageSDK-Risiko hinzugefügt, und als anfällig erkannte Apps wurden aus Google Play entfernt. Microsoft merkte an, dass Nutzer, die anfällige Apps bereits heruntergeladen hatten, nun zusätzlichen Schutz erhalten.

Auswirkungen auf Administratoren und Entwickler

Für Sicherheitsadministratoren ist dies ein starkes Beispiel dafür, warum Mobile-Application-Governance auch die Überprüfung von Abhängigkeiten umfassen muss und nicht nur den Ruf der App oder die Freigabe im Store.

Für Entwickler- und DevSecOps-Teams sind die wichtigsten Lehren:

  • Zusammengeführte Android-Manifeste prüfen, nicht nur Quell-Manifeste
  • Exportierte Aktivitäten und andere exponierte Komponenten auditieren
  • Intent-Handling und appübergreifende Vertrauensannahmen validieren
  • Versionen von Drittanbieter-SDKs als Teil des Software-Supply-Chain-Managements nachverfolgen

Empfohlene nächste Schritte

  • EngageSDK sofort aktualisieren auf Version 5.2.1 oder höher, wenn es in Android-Apps vorhanden ist.
  • Mobile-Apps auf von Abhängigkeiten hinzugefügte exportierte Komponenten überprüfen.
  • Analyse von Abhängigkeiten und Manifesten in CI/CD-Sicherheitsprüfungen integrieren.
  • Die Detection-Hinweise und Indikatoren aus der ursprünglichen Empfehlung von Microsoft verwenden, um die eigene Exponierung zu bewerten.

Dieser Vorfall unterstreicht einen allgemeineren Punkt: Mobile Security wird zunehmend von den Bibliotheken geprägt, von denen Apps abhängen, und nicht nur von dem Code, den Entwickler direkt schreiben.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team lesen
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Verwandte Beiträge

Security

Storm-2755 Gehaltsangriffe auf kanadische Mitarbeiter

Microsoft hat eine finanziell motivierte Storm-2755-Kampagne beschrieben, die kanadische Mitarbeiter mit Angriffen zur Umleitung von Gehaltszahlungen ins Visier nimmt. Der Threat Actor nutzte SEO poisoning, Malvertising und Adversary-in-the-Middle-Techniken, um Sessions zu stehlen, Legacy-MFA zu umgehen und Direct-Deposit-Daten zu ändern – wodurch phishing-resistente MFA und Session-Monitoring zu entscheidenden Schutzmaßnahmen werden.

Security

SOHO-Router DNS-Hijacking: Microsoft warnt

Microsoft Threat Intelligence berichtet, dass Forest Blizzard anfällige Heim- und Kleinbüro-Router kompromittiert hat, um DNS-Datenverkehr umzuleiten und in einigen Fällen Adversary-in-the-Middle-Angriffe auf gezielte Verbindungen zu ermöglichen. Die Kampagne ist für IT-Teams relevant, weil nicht verwaltete SOHO-Geräte von Remote- und Hybrid-Mitarbeitenden den Zugriff auf Cloud-Dienste und sensible Daten gefährden können, selbst wenn Unternehmensumgebungen abgesichert bleiben.

Security

Storm-1175 Medusa-Ransomware auf Websystemen

Microsoft Threat Intelligence warnt, dass Storm-1175 anfällige internetseitige Systeme schnell ausnutzt, um Medusa ransomware bereitzustellen – teils innerhalb von 24 Stunden nach dem Erstzugriff. Der Fokus der Gruppe auf neu offengelegte Schwachstellen, Webshells, RMM-Tools und schnelle laterale Bewegung macht zügiges Patchen, Exposure Management und Erkennung nach einer Kompromittierung für Verteidiger entscheidend.

Security

Device Code Phishing: KI-Kampagne eskaliert

Microsoft Defender Security Research hat eine groß angelegte Phishing-Kampagne beschrieben, die den OAuth-Device-Code-Flow mit KI-generierten Ködern, dynamischer Code-Erstellung und automatisierter Backend-Infrastruktur missbraucht. Die Kampagne erhöht das Risiko für Organisationen, weil sie die Erfolgsquote von Angreifern verbessert, klassische Erkennungsmuster umgeht und Token-Diebstahl, Persistenz über Inbox-Regeln sowie Reconnaissance über Microsoft Graph ermöglicht.

Security

AI-Cyberangriffe beschleunigen die Angriffskette

Microsoft warnt, dass Bedrohungsakteure inzwischen AI über den gesamten Cyberangriffszyklus hinweg einsetzen – von Aufklärung und Phishing bis zur Malware-Entwicklung und Aktivitäten nach einer Kompromittierung. Für Verteidiger bedeutet das schnellere, präzisere Angriffe, höhere Phishing-Erfolgsquoten und einen wachsenden Bedarf, Identitäten, MFA-Schutz und die Transparenz über AI-gesteuerte Angriffsflächen zu stärken.

Security

PHP-Webshells auf Linux: Cookie-gesteuerte Tarnung

Microsoft warnt, dass Bedrohungsakteure HTTP-Cookies nutzen, um PHP-Webshells in Linux-Hosting-Umgebungen zu steuern. So bleibt schädlicher Code inaktiv, solange keine bestimmten Cookie-Werte vorhanden sind. Die Technik verringert die Sichtbarkeit in routinemäßigen Logs, unterstützt Persistenz über Cron-Jobs und unterstreicht den Bedarf an stärkerem Monitoring, Webschutz und Endpoint Detection für gehostete Linux-Workloads.