Security

Android SDK Vulnerability Exposed Millions of Wallets

3 min čitanja

Sažetak

Microsoft je otkrio ozbiljan propust preusmeravanja intent-a u biblioteci treće strane EngageSDK za Android, čime su milioni korisnika kripto novčanika bili potencijal izloženi riziku od otkrivanja podataka i eskalacije privilegija. Problem je ispravljen u EngageSDK verziji 5.2.1, a slučaj pokazuje rastući bezbednosni rizik netransparentnih zavisnosti u lancu snabdevanja mobilnih aplikacija.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod

Microsoft je otkrio ozbiljan Android bezbednosni problem u široko korišćenoj biblioteci treće strane, EngageSDK. Iako nije potvrđeno da je propust aktivno iskorišćen u praksi, pogodio je aplikacije instalirane u ogromnom obimu i predstavlja podsetnik da SDK-ovi trećih strana mogu neprimetno uneti veliki rizik u lanac snabdevanja inače pouzdanim mobilnim aplikacijama.

Šta se dogodilo

Ranjivost predstavlja propust preusmeravanja intent-a u EngageSDK, biblioteci koja se koristi za razmenu poruka i push notifikacije u Android aplikacijama.

Ključni detalji uključuju:

  • Problem je omogućavao zlonamernoj aplikaciji na istom uređaju da zloupotrebi pouzdani kontekst ranjive aplikacije.
  • To je potencijalno moglo dovesti do neovlašćenog pristupa zaštićenim komponentama, otkrivanja osetljivih podataka i eskalacije privilegija.
  • Microsoft navodi da je više od 30 miliona instalacija samo kripto wallet aplikacija trećih strana bilo potencijalno izloženo riziku.
  • Propust je povezan sa eksportovanom Android aktivnošću, MTCommonActivity, dodatom preko SDK-a tokom procesa build-a.
  • Pošto se pojavljuje u spojenom manifestu nakon build procesa, programeri ga mogu prevideti tokom uobičajenog pregleda.

Microsoft je koordinisano objavio informacije zajedno sa EngageLab i Android Security Team. Problem je rešen u EngageSDK verziji 5.2.1 3. novembra 2025.

Zašto je ovo važno za bezbednosne timove

Ovo otkrivanje je važno i izvan Android wallet aplikacija. Pokazuje kako:

  • SDK-ovi trećih strana mogu proširiti površinu napada bez jasne vidljivosti
  • Eksportovane komponente mogu stvoriti nenamerne granice poverenja između aplikacija
  • Slabosti u lancu snabdevanja mobilnih aplikacija mogu odjednom uticati na milione korisnika

Android je takođe dodao ublažavanja na nivou platforme za ovaj specifični EngageSDK rizik, a aplikacije za koje je utvrđeno da su ranjive uklonjene su sa Google Play prodavnice. Microsoft je naveo da korisnici koji su već preuzeli ranjive aplikacije sada imaju dodatnu zaštitu.

Uticaj na administratore i programere

Za bezbednosne administratore, ovo je snažan primer zašto upravljanje mobilnim aplikacijama mora da uključuje pregled zavisnosti, a ne samo reputaciju aplikacije ili odobrenje prodavnice.

Za programere i DevSecOps timove, najvažnije pouke su:

  • Pregledajte spojene Android manifeste, ne samo izvorne manifeste
  • Proverite eksportovane aktivnosti i druge izložene komponente
  • Validirajte obradu intent-a i pretpostavke poverenja između aplikacija
  • Pratite verzije SDK-ova trećih strana kao deo upravljanja lancem snabdevanja softvera

Preporučeni sledeći koraci

  • Odmah nadogradite EngageSDK na verziju 5.2.1 ili noviju ako je prisutan u bilo kojoj Android aplikaciji.
  • Pregledajte mobilne aplikacije radi eksportovanih komponenti dodatih kroz zavisnosti.
  • Dodajte analizu zavisnosti i manifesta u CI/CD bezbednosne provere.
  • Koristite Microsoft smernice za detekciju i indikatore iz originalnog savetodavnog izveštaja da biste procenili izloženost.

Ovaj incident dodatno potvrđuje širu činjenicu: bezbednost mobilnih aplikacija sve više oblikuju biblioteke od kojih aplikacije zavise, a ne samo kod koji programeri direktno pišu.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Android securitymobile app securitythird-party SDKcrypto walletsMicrosoft Defender

Povezani članci

Security

{{Storm-2755 napadi na platni spisak u Kanadi}}

{{Microsoft je objavio detalje finansijski motivisane kampanje Storm-2755 usmerene na zaposlene u Kanadi kroz napade na preusmeravanje plata. Akter pretnje koristio je SEO poisoning, malvertising i adversary-in-the-middle tehnike za krađu sesija, zaobilaženje zastarelog MFA i izmenu podataka za direktnu uplatu, što phishing-resistant MFA i nadzor sesija čini ključnom odbranom.}}

Security

DNS preusmeravanje preko SOHO rutera: Microsoft upozorava

Microsoft Threat Intelligence navodi da je Forest Blizzard kompromitovao ranjive kućne i male kancelarijske rutere kako bi preusmeravao DNS saobraćaj i, u nekim slučajevima, omogućio adversary-in-the-middle napade na ciljane veze. Ova kampanja je važna za IT timove jer neupravljani SOHO uređaji koje koriste udaljeni i hibridni radnici mogu izložiti pristup cloud servisima i osetljive podatke čak i kada korporativna okruženja ostanu bezbedna.

Security

Storm-1175 Medusa ransomware cilja web sisteme

Microsoft Threat Intelligence upozorava da Storm-1175 brzo iskorišćava ranjive internetom izložene sisteme za isporuku Medusa ransomware, ponekad u roku od 24 sata od početnog pristupa. Fokus grupe na novoobjavljene propuste, web shell alate, RMM alate i brzo lateralno kretanje čini brzinu zakrpa, upravljanje izloženošću i detekciju nakon kompromitacije ključnim za odbranu.

Security

AI device code phishing: kampanja eskalira

Microsoft Defender Security Research opisao je phishing kampanju velikih razmera koja zloupotrebljava OAuth device code flow uz mamce generisane pomoću AI, dinamičko generisanje kodova i automatizovanu backend infrastrukturu. Kampanja povećava rizik za organizacije jer poboljšava uspešnost napadača, zaobilazi tradicionalne obrasce detekcije i omogućava krađu tokena, trajnost kroz inbox pravila i izviđanje putem Microsoft Graph-a.

Security

AI sajber napadi ubrzavaju pretnje kroz ceo lanac

Microsoft upozorava da akteri pretnji sada ugrađuju AI u ceo životni ciklus sajber napada, od izviđanja i phishing-a do razvoja malware-a i aktivnosti nakon kompromitovanja. Za branioce to znači brže i preciznije napade, veće stope uspeha phishing-a i sve veću potrebu za jačanjem zaštite identiteta, MFA-a i vidljivosti nad AI vođenim površinama napada.

Security

PHP webshells na Linuxu: izbegavanje uz cookies

Microsoft upozorava da akteri pretnji koriste HTTP cookies za upravljanje PHP webshells u Linux hosting okruženjima, što pomaže zlonamernom kodu da ostane neaktivan osim kada su prisutne određene vrednosti cookies. Ova tehnika smanjuje vidljivost u rutinskim logovima, podržava postojanost kroz cron jobs i naglašava potrebu za jačim monitoringom, web zaštitom i endpoint detection na hostovanim Linux radnim opterećenjima.