У популярному Android SDK EngageLab виявили серйозну вразливість, яка могла відкрити доступ до приватних даних користувачів. Під ризиком опинилися понад 50 мільйонів встановлень, зокрема понад 30 мільйонів криптогаманців.
З’явилися нові деталі щодо вразливості в популярному сторонньому Android-SDK EngageLab, яка могла поставити під загрозу мільйони користувачів, зокрема власників криптовалютних гаманців.
Про проблему повідомили дослідники Microsoft Defender. За їх словами, баг дозволяв застосункам на одному пристрої обходити захисну «пісочницю» Android і отримувати доступ до приватних даних інших програм.
«Цей недолік дозволяє програмам на одному пристрої обходити “пісочницю” безпеки Android та отримувати несанкціонований доступ до особистих даних», – зазначили в Microsoft.
SDK EngageLab використовується для push-сповіщень і персоналізованої взаємодії з користувачами. Він дозволяє додаткам надсилати повідомлення на основі поведінки користувача та підтримувати активність у режимі реального часу, тому широко інтегрується в різні мобільні сервіси.
За оцінками Microsoft, значна частина таких застосунків належить до криптовалютної екосистеми. Кількість встановлень лише серед криптогаманців перевищує 30 мільйонів, а загалом із урахуванням інших додатків на базі цього SDK – понад 50 мільйонів.
Назви конкретних програм не розкриваються, однак відомо, що всі застосунки з уразливими версіями SDK вже видалені з Google Play. Про проблему розробникам повідомили ще у квітні 2025 року, після чого EngageLab випустила оновлення 5.2.1 у листопаді 2025 року, де вразливість закрили.
Йдеться про помилку у версії 4.5.4, яку класифікують як intent redirection. У Android «intent» використовується для обміну запитами між компонентами додатків, а сама вразливість дозволяє маніпулювати цими запитами.
На практиці це означає, що зловмисник може використати довірений контекст вразливого додатка, включно з його дозволами, щоб отримати доступ до захищених компонентів, витягнути конфіденційні дані або навіть підвищити свої привілеї в системі.
Атаку можна було реалізувати через встановлення шкідливого додатка. Далі він використовував уразливий SDK, щоб отримати доступ до внутрішніх директорій інших програм, де можуть зберігатися чутливі дані.
При цьому дослідники підкреслюють, що наразі немає доказів реального використання цієї вразливості в атаках. Водночас розробникам рекомендують якомога швидше оновити SDK, оскільки навіть незначні помилки в сторонніх бібліотеках можуть масштабуватися і впливати на мільйони пристроїв.
«Цей випадок показує, як слабкі місця в сторонніх SDK можуть мати масштабні наслідки для безпеки, особливо у високоцінних секторах, таких як управління цифровими активами», – заявили в Microsoft.
«Додатки все частіше покладаються на сторонні SDK, створюючи великі та часто непрозорі залежності в ланцюжку поставок. Ці ризики зростають, коли інтеграції відкривають компоненти або базуються на припущеннях довіри, які не перевіряються всередині додатків».
