Neue Details haben über eine Sicherheitslücke, die bereits in einem Android SDK für erweiterte Verwendung namens EngageLab SDK korrigiert wurde, die, nach Forschern, Millionen von Benutzern von Kryptomoneda-Portfolios in Gefahr gebracht hätte. Das Microsoft Defender-Forschungsteam beschreibt in einem Bericht, wie ein Fehler bei der Behandlung von Versuchen erlaubt böswillige Anwendungen zu vermeiden Android-Sicherheit Quarantäne und erhalten unbefugten Zugriff auf private Daten innerhalb desselben Geräts.
EngageLab bietet unter anderem einen Dienst zum Senden von Push-Benachrichtigungen, die Entwickler in ihre Apps integrieren, um benutzerdefinierte Anzeigen basierend auf Benutzerverhalten zu senden. Diese Integration, wenn mit einer verletzlichen Version des SDK getan, war diejenige, die die Tür zum Problem öffnete. Microsoft stellte fest, dass ein wesentlicher Teil der Anwendungen, die das SDK verwenden, zum Ökosystem von digitalen Geldbörsen und Kryptomonedas gehören; nur die Apps der betroffenen Geldbörsen waren mehr als 30 Millionen Einrichtungen, und wenn andere Apps mit dem SDK enthalten sind, beträgt die Zahl über 50 Millionen. Das Unternehmen veröffentlichte nicht die spezifischen Namen der betroffenen Anwendungen, und behauptete, dass die identifizierten gefährdeten Versionen von Google Play entfernt wurden.
Das Urteil wurde in der Version 4.5.4 des SDK eingeführt und wurde von EngageLab in der Version 5.2.1 aufgelöst, die nach Beginn des verantwortlichen Offenlegungsverfahrens im April 2025 veröffentlicht wurde. Microsoft hat bisher keine Beweise für eine aktive Ausbeutung in schädlichen Umgebungen gefunden, aber die Kombination aus der Bereitstellungsskala und der Art der betroffenen Daten macht den Vorfall zu einem Weckruf über die Fragilität der Software-Lieferketten auf mobile.
Um zu verstehen, warum dies ernst ist, ist es wichtig zu überprüfen, was Android versucht sind. Eine Absicht ist ein Messaging-Objekt, mit dem Sie Aktionen zwischen Systemkomponenten oder zwischen Anwendungen anfordern können; sein Design erleichtert die Kommunikation zwischen Prozessen, aber wenn sie nicht gut kontrolliert sind, können sie Missbrauchsvektoren werden. Was als "intent redirection" bekannt ist, tritt ein, wenn eine App eine Absicht sendet, indem sie auf eigene Berechtigungen und andere Anwendung, auf demselben Gerät, manipuliert, die Daten umleiten oder geschützte Komponenten anrufen möchten.
In der Praxis könnte ein Angreifer mit einer schädlichen App auf dem Telefon installiert aus dem impliziten Vertrauen, dass das SDK in seinem Kontext auf interne Verzeichnisse oder Daten zugreifen, die in der Regel aus seiner Reichweite wäre. Diese Art von Eskalation von Privilegien auf der Grundlage der Manipulation von Versuchen zeigt, wie eine Missimplifizierung oder Annahme in einer Drittanbieter-Komponente das Risiko verstärken und viele Client-Anwendungen beeinflussen kann, ohne dass Entwickler wissen.
Dieser Vorfall zeigt ein wiederkehrendes Problem: Drittanbieter-Einheiten schaffen undurchsichtige und großflächige Angriffsflächen. Moderne Anwendungen hängen von einer Vielzahl von SDKs ab, die komplexe Funktionen (Bekanntmachungen, Analyse, Werbung usw.) erleichtern, und eine Einlieferverwundbarkeit kann auf Hunderte oder Tausende von Apps übertragen werden. Organisationen und Entwickler sollten sich dieses Vektors bewusst werden und zusätzliche Kontrollen für die Integration anwenden.
Wenn Sie ein Entwickler sind, ist die sofortige Empfehlung, auf Version 5.2.1 von EngageLab so schnell wie möglich zu aktualisieren und Anwendungen zu überprüfen, die frühere Versionen enthalten haben. Über den Spot-Patch hinaus ist es angebracht, gute Praktiken bei der Verwaltung von Versuchen und bei der Exposition von Komponenten anzuwenden: explizit zu erklären, welche Aktivitäten oder Dienstleistungen ausgeführt werden, eingehende Daten zu validieren und ausschließlich auf den Kontext der App für Sicherheitsentscheidungen zu verzichten. Die offizielle Android-Dokumentation über Versuche und Komponenten ist ein guter Ausgangspunkt für diese Verteidigungen: entwickelt und die Anleitungen, wie man exportierte Komponenten erklärt, erklären die Risiken und wie man sie mildert: Entwickler.android.com / Anleitung / Komponenten / Aktivitäten / Erklärung # exportiert.
Für Unit-Management-Teams wird auch empfohlen, Tools zu verwenden, die Bibliotheken und SDKs auditieren, die Rückverfolgbarkeit der in jedem Gebäude enthaltenen Versionen verstehen und automatische Update-Richtlinien oder Warnungen an bekannte Schwachstellen annehmen. Ressourcen wie der SDKS-Index von Google Play können dazu beitragen, die Sichtbarkeit zu erhalten, welche Bibliotheken im Ökosystem vorhanden sind: entwickler.android.com / google / play / Konsole / Qualität / sdk-index. Darüber hinaus sind Initiativen und Standards für die Sicherheit von Software-Lieferketten, wie NIST-Empfehlungen, für die Institutionalisierung von Kontrollen nützlich: csrc.nist.gov / Publikationen / Detail / sp / 800-161 / rev-1 / Final.
Wenn Sie ein Endbenutzer sind, ist die vorsichtigste Position, Ihre Apps auf dem neuesten Stand zu halten und unzuverlässige Anwendungen zu vermeiden: viele Schwachstellen auf mobilen Geräten werden durch Apps, die vom Benutzer selbst installiert werden, ausgenutzt. Wenn eine kritische App wie ein digitales Portfolio sensible Daten erlaubt oder teilt, ist es angebracht, zu überprüfen, ob dies die offizielle Version ist und, wenn der Entwickler Mitteilungen über wichtige Updates veröffentlicht, sie so bald wie möglich anwenden.
Die mobile Sicherheitsgemeinschaft warnt schon seit langem über die Risiken von Fremdkomponenten; Organisationen wie OWASP listen die Hauptvektoren in mobilen Anwendungen auf, in denen externe Bibliotheken als wiederkehrende Bedrohung erscheinen: owasp.org / www-project-mobile-top-ten. Der Fall von EngageLab ersetzt auf der Tabelle, dass selbst "subtile" Fehler im vorgeschalteten Code Auswirkungen auf Millionen von Geräten auslösen können, wenn sie sich auf hochwertige Sektoren wie digitale Assets auswirken.
Es ist keine aktive Ausbeutung bekannt, aber das Potenzial für Schäden, die Korrektur und Koordinierung dringend verursacht haben. Der Prozess folgt - verantwortliche Offenlegung und öffentliche Patch - ist der richtige Weg, um Risiken zu mindern und das Belichtungsfenster zu minimieren. Diese Folge sollte jedoch die Industrie ermutigen, mehr Sicherheitskontrollen von SDK-Anbietern zu verlangen und Audits von Drittanbietern im Rahmen des Lebenszyklus der mobilen Entwicklung einzubeziehen.
Für diejenigen, die neben der Android-Dokumentation und den oben genannten OWASP-Ressourcen vertiefen wollen, ist es angebracht, Zusammenfassungen und Analyse von Bedrohungsreaktionsteams wie Microsoft Defender und andere Forschungszentren zu konsultieren, die Berichte über Schwachstellen im mobilen Ökosystem veröffentlichen: microsoft.com / sicherheit / blog. Es ist auch möglich, zu überprüfen, ob eine Schwachstelle in den öffentlichen Datenbanken von CVE aufgezeichnet wird, um ihre Überwachung und Minderung zu verstehen: cve.mitre.org.
Kurz gesagt, der Ausfall in EngageLab war eine klare Warnung: Wenn viele Apps auf einen einzigen Anbieter für zentrale Dienste wie Benachrichtigungen angewiesen sind, kann eine einzige Schwachstelle einen massiven Maßstab erreichen. Entwickler und Sicherheitsbeamte sollten das implizite Vertrauen zwischen den Komponenten aktualisieren, prüfen und verringern; Nutzer sollten ihre Apps ihrerseits auf dem neuesten Stand halten und die Installation von unified Software begrenzen. Nur dies reduziert die Angriffsfläche und schützt empfindliche Informationen auf mobilen Geräten besser.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...