EngageLab Android SDK漏洞暴露加密货币钱包攻击面
微软漏洞修复时间线与安卓钱包缓解指南
微软发现,EngageLab SDK漏洞可能导致全球超过3000万安卓设备上的私人钱包数据面临风险。
该漏洞滥用安卓意图机制,使恶意应用能够获得持久的读写权限。
EngageLab在版本5.2.1中通过将MTCommonActivity设置为非导出状态修复了此问题。
谷歌应用商店已下架受影响的钱包应用,同时安卓系统也为已安装版本添加了安全防护措施。
EngageLab Android SDK漏洞暴露加密货币钱包攻击面
微软披露了一个严重的安卓SDK漏洞,该漏洞使超过3000万次加密货币钱包安装面临风险。该漏洞影响了EngageLab广泛使用的EngageSDK,众多钱包应用依赖此SDK实现推送消息功能。
根据微软的安全研究,此问题使得同一设备上的恶意应用能够绕过沙箱保护。谷歌应用商店随后下架了所有使用受影响SDK版本的应用。
微软指出,问题核心在于一个名为MTCommonActivity的导出安卓活动组件。该组件在开发者导入SDK后,于清单文件合并过程中被自动添加。由于它出现在构建之后,许多开发团队在审查时可能忽略了它,导致生产版本的APK文件潜藏风险。
当该活动组件接收到外部意图时,漏洞利用链便随之启动。它的onCreate()和onNewIntent()回调函数都将数据路由至processIntent()方法。该方法提取一个URI字符串并将其传递至SDK逻辑深处。最终,该链会重建并启动一个新的意图。
微软的报告指出,关键缺陷发生在一个辅助方法中。该方法没有返回安全的隐式意图,而是返回了一个明确指定目标的意图。这改变了安卓系统的正常解析路径,使得恶意应用能够重定向执行流程。
在实际攻击中,存在漏洞的钱包应用会以其自身权限启动恶意负载。
风险进一步加剧,因为该SDK使用了安卓的URI_ALLOW_UNSAFE标志。这使得重定向后的意图内部能够获得持久的URI读写权限。随后,恶意应用便可访问未导出的内容提供者,从而获取敏感的钱包文件、凭证和用户数据。
微软漏洞修复时间线与安卓钱包缓解指南
微软安全漏洞研究团队于2025年4月首次在EngageSDK版本4.5.4中发现了该漏洞,随后根据协调披露规则通知了EngageLab。由于受影响的应用已在谷歌应用商店上架,安卓安全团队也收到了此报告。
修复方案于数月后的2025年11月3日随版本5.2.1发布。在修复版本中,EngageLab将有漏洞的活动组件更改为非导出状态。这一更改阻止了外部应用直接调用该组件。微软表示,目前未发现该漏洞在野被利用的证据,但仍敦促开发者立即更新。
报告强调,第三方SDK可能悄无声息地扩大钱包应用的受攻击面。加密货币应用面临的风险更高,因为它们通常存储密钥、凭证和财务标识符。即便是上游库中的微小缺陷,也可能波及数百万台设备。考虑到非钱包类应用也受影响,此漏洞总计波及超过5000万次安装。
微软还表示,安卓系统已为先前安装的易受攻击应用添加了自动防护措施。这些缓解措施可在开发者迁移至修复后的SDK期间降低风险。公司建议开发团队在每次依赖项更新后检查合并的清单文件,以便在发布前发现导出的组件。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注