De nouveaux détails sont ressortis sur une vulnérabilité de sécurité qui a déjà été corrigée dans un SDK Android pour une utilisation prolongée appelé EngageLab SDK, qui, selon les chercheurs, aurait pu mettre en danger des millions d'utilisateurs de portefeuilles de cryptomoneda. L'équipe de recherche Microsoft Defender décrit dans un rapport comment un échec dans le traitement des tentatives a permis des applications malveillantes pour éviter la quarantaine de sécurité Android et obtenir un accès non autorisé aux données privées dans le même appareil.
EngageLab offre, entre autres, un service d'envoi de notifications push que les développeurs intègrent dans leurs applications pour envoyer des annonces personnalisées en fonction du comportement de l'utilisateur. Cette intégration, faite avec une version vulnérable du SDK, a été celle qui a ouvert la porte au problème. Microsoft a noté qu'une partie importante des applications qui utilisent le SDK appartiennent à l'écosystème des portefeuilles numériques et des cryptomonédas; seules les applications des sociétés de bourse touchées étaient plus de 30 millions d'installations, et si d'autres applications sont incluses avec le SDK, le chiffre est de plus de 50 millions. La société n'a pas divulgué les noms spécifiques des applications concernées, et a affirmé que les versions vulnérables identifiées ont été retirées de Google Play.
La décision a été introduite dans la version 4.5.4 du SDK et a été résolue par EngageLab dans la version 5.2.1, publiée après que le processus de divulgation responsable a commencé en avril 2025. Microsoft n'a pas trouvé de preuves d'exploitation active dans des environnements malveillants à ce jour, mais la combinaison de l'échelle de déploiement et de la nature des données en cause fait de l'incident un appel de réveil sur la fragilité des chaînes d'approvisionnement logiciels sur mobile.
Pour comprendre pourquoi c'est sérieux, il est important de revoir ce que les tentatives Android sont. Une intention est un objet de messagerie qui vous permet de demander des actions entre les composants du système ou entre les applications; sa conception facilite la communication entre les processus, mais s'ils ne sont pas bien contrôlés, ils peuvent devenir des vecteurs abusifs. Ce qu'on appelle la « redirection d'intention » se produit lorsqu'une application envoie une intention en se fiant à ses propres permissions et à d'autres applications, sur le même appareil, manipule cette intention de rediriger des données ou d'invoquer des composants protégés.
Concrètement, un attaquant avec une application malveillante installée sur le téléphone pourrait profiter de la confiance implicite que le SDK a dans son contexte pour accéder à des répertoires ou des données internes qui seraient normalement hors de sa portée. Ce genre d'escalade des privilèges basée sur la manipulation des tentatives montre comment une erreur d'amplification ou d'hypothèse dans un composant tiers peut amplifier le risque et affecter de nombreuses applications clientes sans le savoir.
Cet incident met en évidence un problème récurrent : des unités tierces créent des surfaces d'attaque opaques et à grande échelle. Les applications modernes dépendent d'une multitude de SDK qui facilitent les fonctions complexes (notifications, analyse, publicité, etc.) et une vulnérabilité à un fournisseur unique peut être transmise à des centaines ou des milliers d'applications. Les organisations et les développeurs devraient prendre conscience de ce vecteur et appliquer des contrôles supplémentaires à l'intégration.
Si vous êtes un développeur, la recommandation immédiate est de mettre à jour la version 5.2.1 d'EngageLab dès que possible et d'examiner les applications qui ont inclus les versions précédentes. Au-delà du spot patch, il convient d'appliquer de bonnes pratiques dans la gestion des tentatives et dans l'exposition des composants : déclarer explicitement quelles activités ou services sont exportés, valider les données entrantes et éviter de se fier exclusivement au contexte de l'application pour les décisions de sécurité. La documentation officielle Android sur les tentatives et les composants est un bon point de départ pour ces défenses: développés et les guides sur la façon de déclarer les composants exportés expliquent les risques et comment les atténuer: développeur.android.com / guide / composants / activités / déclaration # exporté.
Pour les équipes de gestion de l'unité, il est également recommandé d'utiliser des outils qui vérifient les bibliothèques et les SDK, comprennent la traçabilité des versions incluses dans chaque bâtiment et adoptent des politiques de mise à jour automatique ou des alertes aux vulnérabilités connues. Des ressources comme l'index SDKS de Google Play peuvent aider à obtenir une visibilité sur quelles bibliothèques sont présentes dans l'écosystème: développeur.android.com / google / jeu / console / qualité / sdk-index. En outre, les initiatives et les normes relatives à la sécurité de la chaîne d'approvisionnement des logiciels, telles que les recommandations du NIST, sont utiles pour institutionnaliser les contrôles : csrc.nist.gov / publications / detail / sp / 800-161 / rev-1 / final.
Si vous êtes un utilisateur final, la position la plus prudente est de garder vos applications à jour et d'éviter d'installer des applications peu fiables: de nombreuses vulnérabilités sur les appareils mobiles finissent par être exploitées par des applications installées par l'utilisateur lui-même. Lorsqu'une application critique telle qu'une demande de portefeuille numérique permet ou partage des données sensibles, il convient de vérifier qu'il s'agit de la version officielle et, si le développeur publie des avis sur des mises à jour importantes, de les appliquer le plus rapidement possible.
La communauté de la sécurité mobile est depuis longtemps mise en garde contre les risques des composants tiers; des organisations comme OWASP énumèrent les principaux vecteurs dans les applications mobiles, où les bibliothèques externes apparaissent comme une menace récurrente: owasp.org / www-project-mobile-top-ten. Le cas d'EngageLab remplace sur la table que même les défaillances « subtiles » du code en amont peuvent déclencher des impacts sur des millions d'appareils lorsqu'elles touchent des secteurs de grande valeur, comme les actifs numériques.
Aucune exploitation active n'est connue, mais le risque de dommages rend la correction et la coordination urgentes. Le processus suivi - divulgation responsable et patch public - est la bonne façon d'atténuer les risques et de minimiser la fenêtre d'exposition. Toutefois, cet épisode devrait encourager l'industrie à exiger davantage de contrôles de sécurité de la part des fournisseurs de SDK et à intégrer des audits de tiers dans le cycle de vie du développement mobile.
Pour ceux qui veulent approfondir, en plus de la documentation Android et des ressources OWASP mentionnées ci-dessus, il convient de consulter les résumés et l'analyse des équipes de réponse aux menaces telles que celles de Microsoft Defender et d'autres centres de recherche qui publient des rapports sur les vulnérabilités dans l'écosystème mobile: microsoft.com / sécurité / blog. Il est également possible de vérifier si une vulnérabilité est enregistrée dans les bases de données publiques de la CVE afin de comprendre sa surveillance et son atténuation: Cve.mitre.org.
Bref, l'échec d'EngageLab a été un avertissement clair : lorsque de nombreuses applications comptent sur un seul fournisseur pour des services centraux tels que les notifications, une vulnérabilité unique peut atteindre une échelle massive. Les développeurs et les responsables de la sécurité devraient mettre à jour, vérifier et réduire la confiance implicite entre les composants; les utilisateurs, pour leur part, devraient garder leurs applications à jour et limiter l'installation de logiciels non vérifiés. Seulement cela réduit la surface d'attaque et protège mieux les informations sensibles sur les appareils mobiles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...