Security

Vulnerabilità Android di EngageSDK: milioni a rischio

3 min di lettura

Riepilogo

Microsoft ha divulgato una grave falla di intent redirection nel componente di terze parti EngageSDK per Android, esponendo potenzialmente milioni di utenti di wallet crypto al rischio di esposizione dei dati ed escalation dei privilegi. Il problema è stato corretto in EngageSDK versione 5.2.1 e il caso evidenzia il crescente rischio per la sicurezza legato a dipendenze opache nella supply chain delle app mobili.

Hai bisogno di aiuto con Security?Parla con un esperto

Introduzione

Microsoft ha divulgato un grave problema di sicurezza Android in una libreria di terze parti ampiamente utilizzata, EngageSDK. Sebbene non risulti che la falla sia stata sfruttata attivamente, ha interessato app installate su larga scala e ricorda che gli SDK di terze parti possono introdurre silenziosamente un rischio significativo nella supply chain anche in app mobili altrimenti considerate affidabili.

Cosa è successo

La vulnerabilità è una falla di intent redirection in EngageSDK, una libreria usata per messaggistica e notifiche push nelle app Android.

I dettagli principali includono:

  • Il problema permetteva a un'app malevola sullo stesso dispositivo di abusare del contesto attendibile dell'app vulnerabile.
  • Questo poteva potenzialmente portare ad accesso non autorizzato a componenti protetti, esposizione di dati sensibili ed escalation dei privilegi.
  • Microsoft ha affermato che oltre 30 milioni di installazioni delle sole app wallet crypto di terze parti erano potenzialmente esposte al rischio.
  • La falla è stata ricondotta a un'attività Android esportata, MTCommonActivity, aggiunta tramite l'SDK durante il processo di build.
  • Poiché compare nel manifest unito dopo la build, gli sviluppatori potrebbero non notarla durante le normali revisioni.

Microsoft ha coordinato la divulgazione con EngageLab e l'Android Security Team. Il problema è stato risolto in EngageSDK versione 5.2.1 il 3 novembre 2025.

Perché è importante per i team di sicurezza

Questa divulgazione è importante anche oltre l'ambito dei wallet Android. Dimostra come:

  • Gli SDK di terze parti possano ampliare la superficie di attacco senza una visibilità chiara
  • I componenti esportati possano creare confini di fiducia non intenzionali tra le app
  • Le debolezze nella mobile app supply chain possano colpire milioni di utenti contemporaneamente

Android ha inoltre introdotto mitigazioni a livello di piattaforma per questo rischio specifico di EngageSDK e le app rilevate come vulnerabili sono state rimosse da Google Play. Microsoft ha osservato che gli utenti che avevano già scaricato app vulnerabili dispongono ora di una protezione aggiuntiva.

Impatto per amministratori e sviluppatori

Per gli amministratori della sicurezza, questo è un chiaro esempio del perché la governance delle applicazioni mobili debba includere la revisione delle dipendenze, non solo la reputazione dell'app o l'approvazione dello store.

Per gli sviluppatori e i team DevSecOps, gli insegnamenti principali sono:

  • Esaminare i manifest Android uniti, non solo i manifest di origine
  • Eseguire audit delle attività esportate e degli altri componenti esposti
  • Convalidare la gestione degli intent e le ipotesi di fiducia tra app
  • Tracciare le versioni degli SDK di terze parti come parte della gestione della software supply chain

Prossimi passaggi consigliati

  • Aggiornare immediatamente EngageSDK alla versione 5.2.1 o successiva se è presente in qualsiasi app Android.
  • Esaminare le app mobili per individuare componenti esportati aggiunti dalle dipendenze.
  • Aggiungere l'analisi di dipendenze e manifest ai controlli di sicurezza CI/CD.
  • Utilizzare le linee guida di rilevamento e gli indicatori forniti da Microsoft nell'avviso originale per valutare l'esposizione.

Questo incidente rafforza un punto più ampio: la sicurezza mobile è sempre più determinata dalle librerie da cui le app dipendono, non solo dal codice scritto direttamente dagli sviluppatori.

Hai bisogno di aiuto con Security?

I nostri esperti possono aiutarti a implementare e ottimizzare le tue soluzioni Microsoft.

Parla con un esperto

Resta aggiornato sulle tecnologie Microsoft

Leggi l'articolo originale di Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Articoli correlati

Security

Attacchi payroll Storm-2755 contro dipendenti canadesi

Microsoft ha illustrato una campagna Storm-2755 a scopo finanziario che prende di mira i dipendenti canadesi con attacchi di deviazione del payroll. L’attore della minaccia ha usato SEO poisoning, malvertising e tecniche adversary-in-the-middle per rubare sessioni, aggirare l’MFA legacy e modificare i dettagli del deposito diretto, rendendo l’MFA resistente al phishing e il monitoraggio delle sessioni difese essenziali.

Security

DNS hijacking su router SOHO: l’avviso di Microsoft

Microsoft Threat Intelligence afferma che Forest Blizzard ha compromesso router domestici e di piccoli uffici vulnerabili per dirottare il traffico DNS e, in alcuni casi, abilitare attacchi adversary-in-the-middle contro connessioni mirate. La campagna è rilevante per i team IT perché i dispositivi SOHO non gestiti usati da lavoratori remoti e ibridi possono esporre l’accesso al cloud e dati sensibili anche quando gli ambienti aziendali restano protetti.

Security

Storm-1175 e Medusa ransomware: asset web nel mirino

Microsoft Threat Intelligence avverte che Storm-1175 sta sfruttando rapidamente sistemi esposti su Internet e vulnerabili per distribuire Medusa ransomware, talvolta entro 24 ore dall’accesso iniziale. L’attenzione del gruppo per falle appena divulgate, web shell, strumenti RMM e rapidi movimenti laterali rende fondamentali per i difensori la velocità di patching, l’exposure management e il rilevamento post-compromissione.

Security

Phishing device code AI: campagna in escalation

Microsoft Defender Security Research ha descritto una campagna di phishing su larga scala che abusa del flusso OAuth device code usando esche generate con AI, generazione dinamica dei codici e infrastruttura backend automatizzata. La campagna aumenta il rischio per le organizzazioni perché migliora i tassi di successo degli attaccanti, aggira i modelli di rilevamento tradizionali e consente il furto di token, la persistenza tramite regole della posta in arrivo e la ricognizione con Microsoft Graph.

Security

Cyberattacchi AI: minacce accelerate nella catena

Microsoft avverte che gli attori delle minacce stanno ora integrando l’AI nell’intero ciclo di vita del cyberattacco, dalla ricognizione e dal phishing fino allo sviluppo di malware e alle operazioni post-compromissione. Per i difensori, questo significa attacchi più rapidi e precisi, tassi di successo del phishing più elevati e una crescente necessità di rafforzare identità, protezioni MFA e visibilità sulle superfici di attacco guidate dall’AI.

Security

Webshell PHP con cookie su Linux: elusione

Microsoft avverte che gli attori delle minacce stanno usando cookie HTTP per controllare webshell PHP negli ambienti di hosting Linux, aiutando il codice malevolo a restare inattivo finché non sono presenti specifici valori dei cookie. La tecnica riduce la visibilità nei log di routine, supporta la persistenza tramite cron job e sottolinea la necessità di un monitoraggio più efficace, protezione web e rilevamento endpoint sui carichi di lavoro Linux ospitati.