Security

EngageSDK Android-kwetsbaarheid trof miljoenen wallets

3 min leestijd

Samenvatting

Microsoft heeft een ernstige intent redirection-kwetsbaarheid bekendgemaakt in de externe EngageSDK voor Android, waardoor miljoenen gebruikers van crypto wallets mogelijk risico liepen op blootstelling van gegevens en privilege escalation. Het probleem is opgelost in EngageSDK versie 5.2.1 en onderstreept het groeiende beveiligingsrisico van ondoorzichtige supply-chain-afhankelijkheden in mobiele apps.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft heeft een ernstig Android-beveiligingsprobleem bekendgemaakt in een veelgebruikte externe library, EngageSDK. Hoewel niet is vastgesteld dat de kwetsbaarheid actief is misbruikt, trof deze apps die op grote schaal zijn geïnstalleerd en is dit een herinnering dat externe SDK’s ongemerkt grote supply-chain-risico’s kunnen introduceren in verder vertrouwde mobiele apps.

Wat is er gebeurd

De kwetsbaarheid is een intent redirection flaw in EngageSDK, een library die wordt gebruikt voor messaging en pushnotificaties in Android-apps.

Belangrijke details zijn onder meer:

  • Het probleem maakte het mogelijk dat een kwaadaardige app op hetzelfde apparaat misbruik maakte van de vertrouwde context van de kwetsbare app.
  • Dit kon mogelijk leiden tot ongeautoriseerde toegang tot beschermde componenten, blootstelling van gevoelige gegevens en privilege escalation.
  • Microsoft meldde dat alleen al meer dan 30 miljoen installaties van externe crypto wallet-apps mogelijk risico liepen.
  • De kwetsbaarheid werd herleid tot een geëxporteerde Android activity, MTCommonActivity, die tijdens het buildproces via de SDK werd toegevoegd.
  • Omdat deze pas na de build in het samengevoegde manifest verschijnt, kunnen ontwikkelaars dit tijdens normale controles missen.

Microsoft coördineerde de bekendmaking met EngageLab en het Android Security Team. Het probleem is opgelost in EngageSDK versie 5.2.1 op 3 november 2025.

Waarom dit belangrijk is voor securityteams

Deze bekendmaking is ook buiten Android-wallets relevant. Ze laat zien hoe:

  • Externe SDK’s het aanvalsoppervlak kunnen vergroten zonder duidelijke zichtbaarheid
  • Geëxporteerde componenten onbedoelde vertrouwensgrenzen tussen apps kunnen creëren
  • Zwakke plekken in de mobiele app-supply-chain in één keer miljoenen gebruikers kunnen raken

Android heeft ook platformmaatregelen toegevoegd om dit specifieke EngageSDK-risico te beperken, en apps die als kwetsbaar werden gedetecteerd zijn uit Google Play verwijderd. Microsoft merkte op dat gebruikers die kwetsbare apps al hadden gedownload nu extra bescherming hebben.

Impact op beheerders en ontwikkelaars

Voor securitybeheerders is dit een duidelijk voorbeeld van waarom governance voor mobiele applicaties ook dependency review moet omvatten, en niet alleen app-reputatie of goedkeuring in de store.

Voor ontwikkelaars en DevSecOps-teams zijn de belangrijkste lessen:

  • Controleer samengevoegde Android-manifests, niet alleen bronmanifests
  • Audit geëxporteerde activities en andere blootgestelde componenten
  • Valideer intent-afhandeling en vertrouwensaannames tussen apps
  • Houd versies van externe SDK’s bij als onderdeel van software supply-chain management

Aanbevolen vervolgstappen

  • Upgrade EngageSDK onmiddellijk naar versie 5.2.1 of hoger als deze aanwezig is in Android-apps.
  • Controleer mobiele apps op geëxporteerde componenten die door dependencies zijn toegevoegd.
  • Voeg dependency- en manifestanalyse toe aan CI/CD-beveiligingscontroles.
  • Gebruik Microsofts detectierichtlijnen en indicatoren uit het oorspronkelijke advisory om blootstelling te beoordelen.

Dit incident benadrukt een bredere realiteit: mobiele beveiliging wordt steeds meer bepaald door de libraries waarvan apps afhankelijk zijn, en niet alleen door de code die ontwikkelaars direct schrijven.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Gerelateerde artikelen

Security

Storm-2755 payroll-aanvallen treffen Canada

Microsoft heeft details gedeeld over een financieel gemotiveerde Storm-2755-campagne die Canadese medewerkers treft met aanvallen op salarisomleiding. De actor gebruikte SEO poisoning, malvertising en adversary-in-the-middle-technieken om sessies te stelen, legacy MFA te omzeilen en gegevens voor directe stortingen te wijzigen, waardoor phishing-resistente MFA en sessiemonitoring cruciale verdedigingsmaatregelen zijn.

Security

SOHO-router DNS-kaping: Microsoft waarschuwt

Microsoft Threat Intelligence meldt dat Forest Blizzard kwetsbare thuis- en small-office-routers heeft gecompromitteerd om DNS-verkeer te kapen en in sommige gevallen adversary-in-the-middle-aanvallen op doelgerichte verbindingen mogelijk te maken. De campagne is relevant voor IT-teams omdat onbeheerde SOHO-apparaten van remote en hybride medewerkers toegang tot cloudservices en gevoelige gegevens kunnen blootstellen, zelfs wanneer bedrijfsomgevingen veilig blijven.

Security

Storm-1175 Medusa ransomware treft websystemen

Microsoft Threat Intelligence waarschuwt dat Storm-1175 kwetsbare internetgerichte systemen razendsnel misbruikt om Medusa ransomware uit te rollen, soms binnen 24 uur na initiële toegang. De focus van de groep op recent bekendgemaakte kwetsbaarheden, web shells, RMM-tools en snelle laterale verplaatsing maakt snelle patching, exposure management en detectie na compromittering cruciaal voor verdedigers.

Security

AI device code phishing-campagne escaleert

Microsoft Defender Security Research beschreef een grootschalige phishingcampagne die misbruik maakt van de OAuth device code flow met AI-gegenereerde lokmiddelen, dynamische codegeneratie en geautomatiseerde backend-infrastructuur. De campagne vergroot het risico voor organisaties doordat ze het slagingspercentage van aanvallers verhoogt, traditionele detectiepatronen omzeilt en tokendiefstal, persistente inboxregels en Microsoft Graph-verkenning mogelijk maakt.

Security

AI-cyberaanvallen versnellen de aanvalsketen

Microsoft waarschuwt dat dreigingsactoren AI nu inzetten in de volledige cyberaanvallevenscyclus, van verkenning en phishing tot malwareontwikkeling en activiteiten na een compromis. Voor defenders betekent dit snellere, nauwkeurigere aanvallen, hogere phishing-slaagkansen en een groeiende noodzaak om identity-, MFA-bescherming en zichtbaarheid op AI-gestuurde aanvalsoppervlakken te versterken.

Security

PHP-webshells op Linux: cookiegestuurde ontwijking

Microsoft waarschuwt dat dreigingsactoren HTTP-cookies gebruiken om PHP-webshells aan te sturen in Linux-hostingomgevingen, waardoor kwaadaardige code inactief blijft tenzij specifieke cookiewaarden aanwezig zijn. Deze techniek vermindert de zichtbaarheid in routinelogs, ondersteunt persistentie via cron jobs en onderstreept de noodzaak van sterkere monitoring, webbeveiliging en endpointdetectie op gehoste Linux-workloads.