EngageSDK Android脆弱性で数百万のウォレットが危険に

Introduction

Microsoftは、広く利用されている Android 向けサードパーティライブラリ EngageSDK における深刻なセキュリティ問題を公表しました。この脆弱性が実際に悪用された証拠は確認されていませんが、大規模にインストールされたアプリに影響しており、サードパーティ SDK が一見信頼されたモバイルアプリに重大なサプライチェーンリスクを静かに持ち込む可能性があることを改めて示しています。

What happened

この脆弱性は、Android アプリでメッセージングやプッシュ通知に使用されるライブラリ EngageSDK に存在する intent redirection flaw です。

主なポイントは次のとおりです。

• 同一デバイス上の悪意あるアプリが、脆弱なアプリの信頼されたコンテキストを悪用できる可能性がありました。
• これにより、保護されたコンポーネントへの不正アクセス、機密データの漏えい、権限昇格につながるおそれがありました。
• Microsoft によると、サードパーティ製の暗号資産ウォレットアプリだけでも 3,000万件以上のインストール が潜在的なリスクにさらされていました。
• この問題は、ビルド工程で SDK によって追加される exported Android activity、MTCommonActivity に起因していました。
• これはビルド後のマージ済み manifest に現れるため、通常のレビューでは開発者が見落とす可能性があります。

Microsoft は EngageLab および Android Security Team と連携して情報開示を行いました。この問題は 2025年11月3日 に EngageSDK version 5.2.1 で修正されました。

Why this matters for security teams

この公表は、Android ウォレットに限らず重要な意味を持ちます。以下の点を示しているためです。

• サードパーティ SDK は、明確な可視性がないまま攻撃対象領域を拡大し得る
• Exported components は、アプリ間に意図しない信頼境界を生み出す可能性がある
• モバイルアプリのサプライチェーン上の弱点は、一度に数百万人規模のユーザーへ影響し得る

Android では、この EngageSDK 固有のリスクに対するプラットフォームレベルの緩和策も追加されており、脆弱と判定されたアプリは Google Play から削除されました。Microsoft は、すでに脆弱なアプリをダウンロードしていたユーザーにも追加の保護が提供されていると述べています。

Impact on administrators and developers

セキュリティ管理者にとって、これはモバイルアプリケーションのガバナンスにおいて、アプリの評判やストア承認だけでなく、依存関係のレビューも含める必要があることを示す明確な事例です。

開発者および DevSecOps チームにとって、主な教訓は次のとおりです。

• ソース manifest だけでなく、マージ済み Android manifest も確認する
• Exported activities やその他の公開コンポーネントを監査する
• intent 処理とアプリ間の信頼前提を検証する
• ソフトウェアサプライチェーン管理の一環としてサードパーティ SDK のバージョンを追跡する

Recommended next steps

• Android アプリに EngageSDK が含まれている場合は、直ちに EngageSDK を version 5.2.1 以降へ更新してください。
• 依存関係によって追加された exported components がないかモバイルアプリを確認してください。
• 依存関係および manifest の分析を CI/CD のセキュリティチェックに追加してください。
• Microsoft の検出ガイダンスと元のアドバイザリにある指標を使用して、影響範囲を評価してください。

この事例は、モバイルセキュリティがますます、開発者が直接書くコードだけでなく、アプリが依存するライブラリによって左右されることを改めて示しています。