Уязвимость EngageSDK для Android затронула кошельки
Кратко
Microsoft раскрыла серьёзную уязвимость перенаправления intent в стороннем EngageSDK для Android, из-за которой миллионы пользователей криптокошельков могли подвергнуться риску утечки данных и повышения привилегий. Проблема устранена в EngageSDK версии 5.2.1, а сам случай подчёркивает растущие риски безопасности, связанные с непрозрачными зависимостями мобильной цепочки поставок.
Введение
Microsoft раскрыла серьёзную проблему безопасности Android в широко используемой сторонней библиотеке EngageSDK. Хотя признаков эксплуатации уязвимости в реальных атаках выявлено не было, она затрагивала приложения, установленные в огромных масштабах, и служит напоминанием о том, что сторонние SDK могут незаметно вносить серьёзные риски в цепочку поставок даже для мобильных приложений, которым обычно доверяют.
Что произошло
Уязвимость представляет собой ошибку перенаправления intent в EngageSDK — библиотеке, используемой для обмена сообщениями и push-уведомлений в Android-приложениях.
Ключевые детали:
- Проблема позволяла вредоносному приложению на том же устройстве злоупотреблять доверенным контекстом уязвимого приложения.
- Это потенциально могло привести к несанкционированному доступу к защищённым компонентам, раскрытию конфиденциальных данных и повышению привилегий.
- По данным Microsoft, риску потенциально подвергались более 30 миллионов установок одних только сторонних приложений криптокошельков.
- Источником проблемы стал экспортируемый Android activity MTCommonActivity, добавляемый SDK в процессе сборки.
- Поскольку он появляется в объединённом manifest после сборки, разработчики могут не заметить его при обычной проверке.
Microsoft координировала раскрытие информации с EngageLab и Android Security Team. Проблема была устранена в EngageSDK версии 5.2.1 3 ноября 2025 года.
Почему это важно для команд безопасности
Это раскрытие важно не только для Android-кошельков. Оно показывает, что:
- Сторонние SDK могут расширять поверхность атаки без явной видимости
- Экспортируемые компоненты могут создавать непреднамеренные границы доверия между приложениями
- Слабые места в мобильной цепочке поставок ПО могут одновременно затрагивать миллионы пользователей
Android также добавила меры защиты на уровне платформы для этого конкретного риска EngageSDK, а приложения, признанные уязвимыми, были удалены из Google Play. Microsoft отметила, что пользователи, уже скачавшие уязвимые приложения, теперь получили дополнительную защиту.
Влияние на администраторов и разработчиков
Для администраторов безопасности это наглядный пример того, почему управление мобильными приложениями должно включать проверку зависимостей, а не только репутацию приложения или одобрение магазина.
Для разработчиков и команд DevSecOps основные выводы таковы:
- Проверяйте объединённые Android manifest, а не только исходные manifest
- Аудируйте экспортируемые activity и другие открытые компоненты
- Проверяйте обработку intent и предположения о доверии между приложениями
- Отслеживайте версии сторонних SDK как часть управления цепочкой поставок ПО
Рекомендуемые следующие шаги
- Немедленно обновите EngageSDK до версии 5.2.1 или новее, если он присутствует в каких-либо Android-приложениях.
- Проверьте мобильные приложения на наличие экспортируемых компонентов, добавленных зависимостями.
- Добавьте анализ зависимостей и manifest в проверки безопасности CI/CD.
- Используйте рекомендации Microsoft по обнаружению и индикаторы из исходного advisory для оценки подверженности риску.
Этот инцидент подчёркивает более широкий вывод: безопасность мобильных приложений всё в большей степени определяется библиотеками, от которых зависят приложения, а не только кодом, который разработчики пишут напрямую.
Нужна помощь с Security?
Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.
Поговорить с экспертомБудьте в курсе технологий Microsoft