マイクロソフトのセキュリティ研究者は、暗号資産ウォレットアプリケーションで広く使用されているサードパーティのAndroid SDKが、極めて機密性の高い情報を露出させる可能性のある深刻な脆弱性の影響を受けていることを発見しました。
この脆弱性はEngageLab社のEngageSDKで発見されました。同SDKはモバイルアプリケーションのメッセージング管理とプッシュ通知管理を目的として設計されています。
マイクロソフトによると、開発者がAndroidアプリに依存関係として統合するこのSDKは、合計3000万以上のインストール数を持つクリプトウォレットアプリで使用されています。
EngageSDKの修正されていないバージョンは、異なるアプリケーション間のインタラクションや同じアプリケーションのコンポーネント間のデータ共有を可能にするAndroidインテントに関連する脆弱性の影響を受けています。
マイクロソフトの研究者は、攻撃者が脆弱なアプリケーションから送信されたインテントの内容を操作できるようにするインテントリダイレクト欠陥を特定しました。
攻撃者は、ターゲットデバイスで実行されている悪意のあるアプリを使用して、脆弱なアプリを活用してAndroidセキュリティサンドボックスをバイパスし、個人情報、ユーザーの認証情報、財務情報などの機密データにアクセスできる特殊に細工されたインテントを送信できます。
マイクロソフトは2025年4月にEngageLab開発者に通知しました。Google Playを通じて配布されるアプリに影響する脆弱性のため、Android Securityチームにも翌月通知されました。
「これはサードパーティSDKによってもたらされた脆弱性ですが、Androidの既存の層状セキュリティモデルは、インテントを通じた脆弱性の悪用に対する追加の軽減策を提供することができます」とマイクロソフトは説明しました。
同社は、SDKの脆弱なバージョンを使用して検出されたすべてのクリプトウォレットアプリはGoogle Playから削除されたと述べました。さらに、Androidによって実装された軽減策は、以前に影響を受けたアプリケーションをダウンロードしたユーザーを保護するはずです。
パッチはEngageLab社によって2025年11月初旬にバージョン5.2.1のリリースとともに提供されました。マイクロソフトは現在技術詳細を公開し、開発者にSDKの最新バージョンを使用していることを確認するよう促しています。
同テック企業は、実際の悪用の証拠を発見しませんでした。
