Security

Vulnérabilité Android EngageSDK : millions exposés

3 min de lecture

Résumé

Microsoft a révélé une grave faille de redirection d’intention dans EngageSDK, un SDK tiers pour Android, exposant potentiellement des millions d’utilisateurs de portefeuilles crypto à des fuites de données et à une élévation de privilèges. Le problème a été corrigé dans EngageSDK version 5.2.1 et illustre le risque croissant lié aux dépendances opaques de la chaîne d’approvisionnement des applications mobiles.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a révélé un grave problème de sécurité Android dans une bibliothèque tierce largement utilisée, EngageSDK. Bien qu’aucune exploitation active n’ait été observée, la faille touchait des applications installées à très grande échelle et rappelle que les SDK tiers peuvent discrètement introduire un risque majeur dans la chaîne d’approvisionnement d’applications mobiles pourtant considérées comme fiables.

Ce qui s’est passé

La vulnérabilité est une faille de redirection d’intention dans EngageSDK, une bibliothèque utilisée pour la messagerie et les notifications push dans les applications Android.

Points clés :

  • Le problème permettait à une application malveillante présente sur le même appareil d’abuser du contexte de confiance de l’application vulnérable.
  • Cela pouvait potentiellement entraîner un accès non autorisé à des composants protégés, une exposition de données sensibles et une élévation de privilèges.
  • Microsoft a indiqué que plus de 30 millions d’installations d’applications tierces de portefeuilles crypto seulement étaient potentiellement exposées au risque.
  • La faille a été reliée à une activité Android exportée, MTCommonActivity, ajoutée par le SDK pendant le processus de build.
  • Comme elle apparaît dans le manifeste fusionné après le build, les développeurs peuvent passer à côté lors d’une revue classique.

Microsoft a coordonné la divulgation avec EngageLab et l’Android Security Team. Le problème a été corrigé dans EngageSDK version 5.2.1 le 3 novembre 2025.

Pourquoi cela importe pour les équipes de sécurité

Cette divulgation est importante au-delà des portefeuilles Android. Elle montre que :

  • Les SDK tiers peuvent élargir la surface d’attaque sans visibilité claire
  • Les composants exportés peuvent créer des frontières de confiance involontaires entre applications
  • Les faiblesses de la chaîne d’approvisionnement des applications mobiles peuvent affecter des millions d’utilisateurs en même temps

Android a également ajouté des mesures d’atténuation au niveau de la plateforme pour ce risque spécifique lié à EngageSDK, et les applications identifiées comme vulnérables ont été retirées de Google Play. Microsoft a indiqué que les utilisateurs ayant déjà téléchargé des applications vulnérables bénéficient désormais d’une protection supplémentaire.

Impact pour les administrateurs et les développeurs

Pour les administrateurs de la sécurité, il s’agit d’un exemple clair montrant pourquoi la gouvernance des applications mobiles doit inclure l’examen des dépendances, et pas seulement la réputation des applications ou leur validation en boutique.

Pour les développeurs et les équipes DevSecOps, les principaux enseignements sont les suivants :

  • Examiner les manifestes Android fusionnés, et pas seulement les manifestes source
  • Auditer les activités exportées et les autres composants exposés
  • Valider la gestion des intents et les hypothèses de confiance entre applications
  • Suivre les versions des SDK tiers dans le cadre de la gestion de la chaîne d’approvisionnement logicielle

Prochaines étapes recommandées

  • Mettez à niveau EngageSDK immédiatement vers la version 5.2.1 ou ultérieure s’il est présent dans des applications Android.
  • Examinez les applications mobiles pour détecter les composants exportés ajoutés par des dépendances.
  • Ajoutez l’analyse des dépendances et des manifestes aux contrôles de sécurité CI/CD.
  • Utilisez les conseils de détection de Microsoft et les indicateurs de l’avis d’origine pour évaluer l’exposition.

Cet incident renforce un constat plus large : la sécurité mobile est de plus en plus déterminée par les bibliothèques dont dépendent les applications, et pas seulement par le code écrit directement par les développeurs.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Articles connexes

Security

Attaques de paie Storm-2755 contre des employés canadiens

Microsoft a détaillé une campagne Storm-2755 à motivation financière visant des employés canadiens avec des attaques de détournement de paie. L’acteur malveillant a utilisé le SEO poisoning, le malvertising et des techniques d’adversary-in-the-middle pour voler des sessions, contourner le MFA hérité et modifier les informations de dépôt direct, faisant du MFA résistant au phishing et de la surveillance des sessions des défenses essentielles.

Security

Détournement DNS sur routeurs SOHO : alerte Microsoft

Microsoft Threat Intelligence indique que Forest Blizzard a compromis des routeurs domestiques et de petits bureaux vulnérables afin de détourner le trafic DNS et, dans certains cas, de permettre des attaques adversary-in-the-middle contre des connexions ciblées. Cette campagne est importante pour les équipes IT, car des appareils SOHO non gérés utilisés par des employés en télétravail ou en mode hybride peuvent exposer l’accès au cloud et des données sensibles, même lorsque les environnements d’entreprise restent sécurisés.

Security

Storm-1175 et Medusa ransomware ciblent le web

Microsoft Threat Intelligence avertit que Storm-1175 exploite rapidement des systèmes exposés à Internet et vulnérables pour déployer le ransomware Medusa, parfois dans les 24 heures suivant l’accès initial. L’accent mis par le groupe sur les failles récemment divulguées, les web shells, les outils RMM et les mouvements latéraux rapides rend essentiels la rapidité des correctifs, la gestion de l’exposition et la détection post-compromission pour les défenseurs.

Security

Phishing device code par IA : campagne en hausse

Microsoft Defender Security Research a détaillé une campagne de phishing à grande échelle qui abuse du flux OAuth device code à l’aide de leurres générés par IA, d’une génération dynamique de codes et d’une infrastructure backend automatisée. Cette campagne accroît le risque pour les organisations, car elle améliore le taux de réussite des attaquants, contourne les schémas de détection traditionnels et permet le vol de jetons, la persistance via des règles de boîte de réception et la reconnaissance via Microsoft Graph.

Security

Cyberattaques IA : menaces sur toute la chaîne

Microsoft avertit que les acteurs de la menace intègrent désormais l’IA sur l’ensemble du cycle de vie des cyberattaques, de la reconnaissance et du phishing au développement de malware et aux opérations post-compromission. Pour les défenseurs, cela signifie des attaques plus rapides, plus précises, des taux de réussite du phishing plus élevés et un besoin croissant de renforcer les identités, les protections MFA et la visibilité sur les surfaces d’attaque pilotées par l’IA.

Security

Webshells PHP sur Linux : évasion via cookies

Microsoft avertit que des acteurs malveillants utilisent des cookies HTTP pour contrôler des webshells PHP dans des environnements d’hébergement Linux, permettant au code malveillant de rester inactif tant que certaines valeurs de cookie ne sont pas présentes. Cette technique réduit la visibilité dans les journaux courants, favorise la persistance via des tâches cron et souligne la nécessité d’un monitoring renforcé, d’une meilleure protection web et d’une détection endpoint sur les charges de travail Linux hébergées.