HackerNews 编译,转载请注明出处:
广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光,该漏洞可能使数百万加密货币钱包用户面临风险。
微软Defender安全研究团队今日发布的报告中表示:“该缺陷允许同一设备上的应用绕过安卓安全沙箱,获取私有数据的未授权访问。”
EngageLab SDK提供推送通知服务,据其网站介绍,旨在基于开发者已追踪的用户行为发送”及时通知”。集成至应用后,该SDK可发送个性化通知并驱动实时互动。
这家科技巨头称,大量使用该SDK的应用属于加密货币和数字钱包生态系统,受影响钱包应用安装量超过3000万。若计入基于同一SDK构建的非钱包应用,安装量突破5000万。
微软未透露应用名称,但指出所有检测到使用漏洞版本SDK的应用已从Google Play商店移除。经2025年4月负责任披露后,EngageLab于2025年11月发布5.2.1版本修复该漏洞。
该问题在4.5.4版本中被识别,被描述为意图重定向漏洞。安卓中的意图指用于向另一应用组件请求操作的消息对象。
意图重定向发生在脆弱应用发送的意图内容被利用其可信上下文(即权限)操纵时,以获取受保护组件的未授权访问、暴露敏感数据或在安卓环境内提升权限。
攻击者可通过设备上通过其他方式安装的恶意应用利用该漏洞,访问集成SDK应用关联的内部目录,导致敏感数据的未授权访问。
尚无证据表明该漏洞曾被恶意利用。尽管如此,建议集成该SDK的开发者尽快更新至最新版本,尤其考虑到上游库中即使是微小缺陷也可能产生连锁影响,波及数百万设备。
微软表示:”此案例显示第三方SDK中的弱点可能产生大规模安全影响,尤其在数字资产管理等高价值领域。应用日益依赖第三方SDK,形成庞大且往往不透明的供应链依赖。当集成暴露导出组件或依赖跨应用边界未验证的信任假设时,这些风险会增加。”
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文