Security

Luka EngageSDK Android narażała miliony portfeli

3 min czytania

Podsumowanie

Microsoft ujawnił poważną lukę typu intent redirection w zewnętrznym EngageSDK dla Android, która mogła narazić miliony użytkowników portfeli crypto na wyciek danych i eskalację uprawnień. Problem naprawiono w EngageSDK w wersji 5.2.1, a ten przypadek pokazuje rosnące ryzyko bezpieczeństwa związane z nieprzejrzystymi zależnościami w łańcuchu dostaw aplikacji mobilnych.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie

Microsoft ujawnił poważny problem bezpieczeństwa Android w szeroko używanej bibliotece zewnętrznej EngageSDK. Chociaż nie stwierdzono aktywnego wykorzystania luki, dotyczyła ona aplikacji zainstalowanych na ogromną skalę i przypomina, że zewnętrzne SDK mogą po cichu wprowadzać istotne ryzyko dla łańcucha dostaw do aplikacji mobilnych, które skądinąd są uznawane za zaufane.

Co się stało

Podatność to luka typu intent redirection w EngageSDK, bibliotece używanej do wiadomości i push notifications w aplikacjach Android.

Najważniejsze szczegóły:

  • Problem pozwalał złośliwej aplikacji na tym samym urządzeniu nadużyć zaufanego kontekstu podatnej aplikacji.
  • Mogło to potencjalnie prowadzić do nieautoryzowanego dostępu do chronionych komponentów, ujawnienia wrażliwych danych i eskalacji uprawnień.
  • Microsoft poinformował, że na ryzyko mogło być narażonych ponad 30 milionów instalacji samych zewnętrznych aplikacji portfeli crypto.
  • Źródłem luki była eksportowana aktywność Android, MTCommonActivity, dodawana przez SDK podczas procesu build.
  • Ponieważ pojawia się w scalonym manifeście po build, deweloperzy mogą ją przeoczyć podczas standardowego przeglądu.

Microsoft skoordynował ujawnienie z EngageLab i Android Security Team. Problem został rozwiązany w EngageSDK version 5.2.1 3 listopada 2025 roku.

Dlaczego to ma znaczenie dla zespołów bezpieczeństwa

To ujawnienie jest istotne nie tylko dla portfeli Android. Pokazuje ono, że:

  • Zewnętrzne SDK mogą rozszerzać powierzchnię ataku bez wyraźnej widoczności
  • Eksportowane komponenty mogą tworzyć niezamierzone granice zaufania między aplikacjami
  • Słabości w mobilnym łańcuchu dostaw aplikacji mogą jednocześnie wpływać na miliony użytkowników

Android dodał również mechanizmy ograniczające na poziomie platformy dla tego konkretnego ryzyka związanego z EngageSDK, a aplikacje wykryte jako podatne zostały usunięte z Google Play. Microsoft zaznaczył, że użytkownicy, którzy wcześniej pobrali podatne aplikacje, mają teraz dodatkową ochronę.

Wpływ na administratorów i deweloperów

Dla administratorów bezpieczeństwa to wyraźny przykład, dlaczego nadzór nad aplikacjami mobilnymi musi obejmować przegląd zależności, a nie tylko reputację aplikacji lub zatwierdzenie w sklepie.

Dla deweloperów i zespołów DevSecOps najważniejsze wnioski są następujące:

  • Analizuj scalone manifesty Android, a nie tylko manifesty źródłowe
  • Audytuj eksportowane aktywności i inne ujawnione komponenty
  • Weryfikuj obsługę intentów i założenia dotyczące zaufania między aplikacjami
  • Śledź wersje zewnętrznych SDK jako część zarządzania łańcuchem dostaw oprogramowania

Zalecane kolejne kroki

  • Natychmiast zaktualizuj EngageSDK do wersji 5.2.1 lub nowszej, jeśli występuje w jakichkolwiek aplikacjach Android.
  • Sprawdź aplikacje mobilne pod kątem eksportowanych komponentów dodanych przez zależności.
  • Dodaj analizę zależności i manifestów do kontroli bezpieczeństwa CI/CD.
  • Skorzystaj ze wskazówek Microsoft dotyczących wykrywania oraz wskaźników z oryginalnego advisory, aby ocenić skalę narażenia.

Ten incydent wzmacnia szerszy wniosek: na bezpieczeństwo mobilne coraz większy wpływ mają biblioteki, od których zależą aplikacje, a nie tylko kod pisany bezpośrednio przez deweloperów.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Powiązane artykuły

Security

Ataki płacowe Storm-2755 na pracowników w Kanadzie

Microsoft opisał motywowaną finansowo kampanię Storm-2755 wymierzoną w pracowników w Kanadzie z użyciem ataków przekierowujących wypłaty. Aktor zagrożeń wykorzystał SEO poisoning, malvertising oraz techniki adversary-in-the-middle do kradzieży sesji, obejścia starszych metod MFA i zmiany danych direct deposit, co sprawia, że MFA odporne na phishing i monitorowanie sesji są kluczowymi zabezpieczeniami.

Security

{{Przejęcie DNS w routerach SOHO: ostrzeżenie Microsoftu}}

{{Microsoft Threat Intelligence informuje, że Forest Blizzard przejmował podatne routery domowe i biurowe, aby przekierowywać ruch DNS, a w niektórych przypadkach umożliwiać ataki adversary-in-the-middle na wybrane połączenia. Kampania ma znaczenie dla zespołów IT, ponieważ niezarządzane urządzenia SOHO używane przez pracowników zdalnych i hybrydowych mogą narażać dostęp do chmury i wrażliwe dane, nawet gdy środowiska firmowe pozostają bezpieczne.}}

Security

Storm-1175 i Medusa ransomware atakują web assets

Microsoft Threat Intelligence ostrzega, że Storm-1175 szybko wykorzystuje podatne systemy dostępne z internetu do wdrażania Medusa ransomware, czasem w ciągu zaledwie 24 godzin od uzyskania początkowego dostępu. Koncentracja grupy na nowo ujawnionych lukach, web shells, narzędziach RMM i szybkim ruchu lateralnym sprawia, że szybkie łatanie, zarządzanie ekspozycją i wykrywanie działań po kompromitacji są kluczowe dla obrońców.

Security

Phishing device code AI: kampania eskaluje

Microsoft Defender Security Research opisał zakrojoną na szeroką skalę kampanię phishingową, która nadużywa przepływu OAuth device code z użyciem przynęt generowanych przez AI, dynamicznego generowania kodów oraz zautomatyzowanej infrastruktury backendowej. Kampania zwiększa ryzyko dla organizacji, ponieważ poprawia skuteczność atakujących, omija tradycyjne wzorce detekcji i umożliwia kradzież tokenów, utrwalanie dostępu przez reguły skrzynki odbiorczej oraz rekonesans w Microsoft Graph.

Security

Ataki cybernetyczne AI przyspieszają cały łańcuch

Microsoft ostrzega, że cyberprzestępcy wykorzystują obecnie AI na całej długości cyklu ataku — od rozpoznania i phishingu po tworzenie malware oraz działania po przejęciu środowiska. Dla obrońców oznacza to szybsze i bardziej precyzyjne ataki, wyższą skuteczność phishingu oraz rosnącą potrzebę wzmocnienia ochrony tożsamości, MFA i widoczności powierzchni ataku wspieranych przez AI.

Security

PHP webshelle na Linux: unikanie wykrycia przez cookies

Microsoft ostrzega, że cyberprzestępcy wykorzystują HTTP cookies do sterowania PHP webshellami w środowiskach hostingowych Linux, co pozwala złośliwemu kodowi pozostawać uśpionym, dopóki nie pojawią się określone wartości cookie. Technika ta ogranicza widoczność w rutynowych logach, wspiera trwałość dzięki zadaniom cron i podkreśla potrzebę silniejszego monitoringu, ochrony aplikacji webowych oraz wykrywania zagrożeń na punktach końcowych w hostowanych środowiskach Linux.