- Microsoftが5000万台のAndroidデバイスに影響を与えるEngageLab SDKの欠陥を発見
- 脆弱性によりアプリはサンドボックスをバイパスしてプライベートデータにアクセス可能
- 少なくとも3000万のインストールは暗号資産アプリで、v5.2.1で修正
約5000万台のAndroidデバイスが脆弱性を持つアプリを使用していたと、専門家は警告しています。これらのアプリにより、脅威行為者はそれらのデバイスに保存されているプライベートデータにアクセスできる可能性がありました。これらのインストールの多くは暗号資産アプリであり、問題をさらに深刻にしました。
Microsoftのセキュリティ研究者は、EngageLab SDKで「インテント リダイレクション脆弱性」を特定したと述べています。EngageLab SDKは、プッシュ通知やアプリ内メッセージングなどのユーザーエンゲージメント機能を構築するのに役立つ一般的なソフトウェア開発キットです。
「この欠陥により、同じデバイス上のアプリはAndroidのセキュリティサンドボックスをバイパスし、プライベートデータへの不正アクセスを獲得することができます」とMicrosoftはレポートに記載しました。
記事は下に続きます
脆弱なアプリを削除する
インテントはAndroid内のメカニズムで、アプリ間(または単一のアプリ内の複数のコンポーネント間)の通信に使用されます。データと命令を運ぶメッセージオブジェクトとして機能し、あるコンポーネントが別のコンポーネント(アクティビティを開く、関数をトリガーするなど)にアクションをリクエストすることを可能にします。
任意のアプリはインテントを送信できますが、それが受け入れられるかどうかは、送信元アプリのIDと権限に依存します。
Microsoftは脆弱なSDKを含んでいたアプリを特定することはありませんでしたが、ダウンロードの少なくとも3000万は暗号資産アプリに該当したと述べました。バグは2025年4月にバージョン4.5.4で発見されました。同年11月にバージョン5.2.1で修正されました。
バグのあるSDKで構築されたすべてのアプリはGoogleのPlayストアから削除されたと言われています。
Microsoftはまた、悪意のある行為者がこの欠陥を事前に発見し、リアル攻撃でゼロデイとして使用したという証拠は見つからなかったと述べました。ただし、開発者はできるだけ早くSDKを最新バージョンに更新することを強く求められています。
「このケースは、特にデジタル資産管理のような高価値セクターにおいて、サードパーティSDKの弱点がいかに大規模なセキュリティへの影響を与える可能性があるかを示しています」とMicrosoftは述べました。「アプリはますますサードパーティSDKに依存し、大規模でしばしば不透明なサプライチェーン依存を作成しています。統合がエクスポートされたコンポーネントを公開するか、アプリ境界間で検証されていない信頼仮定に依存する場合、これらのリスクは増加します。」
そしてもちろん、あなたもTikTokでTechRadarをフォローできます。ニュース、レビュー、ビデオ形式でのアンボックスなどのために、またWhatsAppで私たちからの定期的なアップデートを取得できます。
