Alvorlig Sårbarhed i Android SDK
En alvorlig sårbarhed i et populært tredjeparts Android-softwareudviklingskit (SDK) har efterladt titusinder af millioner af kryptovaluta-wallets sårbare over for datatyveri, ifølge en ny rapport fra Microsoft Defender Security Research Team.
Fejlens Indvirkning
Fejlen har gjort det muligt for ondsindede applikationer at omgå Androids kerne-sikkerhedssandkasse. Sårbarheden har påvirket en bred vifte af applikationer, men økosystemet for kryptovaluta og digitale wallets har båret hovedparten af eksponeringen på grund af den høje værdi af de gemte data.
Microsoft identificerede over 30 millioner installationer af berørte tredjeparts kryptovaluta-wallet-applikationer, og den samlede eksponering oversteg 50 millioner installationer. Hvis sårbarheden blev udnyttet, kunne den have afsløret personligt identificerbare oplysninger (PII), private brugeroplysninger og følsomme finansielle data gemt dybt i de berørte apps private mapper.
Aktuel Status
Heldigvis bemærkede Microsoft, at der i øjeblikket ikke er nogen beviser for, at denne sårbarhed nogensinde blev aktivt udnyttet af trusselaktører.
EngageLab SDK
EngageLab SDK er et værktøj, der anvendes af udviklere til at administrere push-notifikationer og realtids in-app beskeder. Sikkerhedssvagheden blev sporet til en specifik komponent (MTCommonActivity), der automatisk blev tilføjet til en applikations baggrundskode efter byggeprocessen.
Fordi denne komponent blev bredt eksporteret, blev den tilgængelig for andre applikationer installeret på den samme Android-enhed. En ondsindet app installeret på den samme enhed kunne skabe en manipuleret besked (en “intent“) og sende den til den sårbare kryptovaluta-wallet-app. Wallet-appen ville behandle denne intent ved hjælp af sin egen betroede identitet og tilladelser, hvilket narrede wallet’en til at give den ondsindede app vedvarende læse- og skriveadgang til dens private datamapper.
Reaktion på Truslen
Hurtige tiltag blev taget på tværs af Android-økosystemet for at afbøde truslen.
