Sicherheitsanfälligkeit in Android SDK
Eine schwerwiegende Sicherheitsanfälligkeit in einem beliebten Drittanbieter-Android-Softwareentwicklungs-Kit (SDK) hat laut einem neu veröffentlichten Bericht des Microsoft Defender Security Research Teams Millionen von Kryptowährungs-Wallets für Datendiebstahl anfällig gemacht.
Details zur Sicherheitsanfälligkeit
Der Fehler ermöglichte es bösartigen Anwendungen, die zentrale Sicherheits-Sandbox von Android zu umgehen. Die Sicherheitsanfälligkeit betraf eine Vielzahl von Anwendungen, wobei das Ökosystem der Kryptowährungen und digitalen Wallets besonders stark betroffen war, da dort wertvolle Daten gespeichert sind.
Microsoft identifizierte über 30 Millionen Installationen betroffener Drittanbieter-Krypto-Wallet-Anwendungen, und die gesamte Exposition überstieg 50 Millionen Installationen. Hätte die Sicherheitsanfälligkeit ausgenutzt werden können, wären persönlich identifizierbare Informationen (PII), private Benutzeranmeldeinformationen und sensible Finanzdaten, die tief in den privaten Verzeichnissen der betroffenen Apps gespeichert sind, offengelegt worden.
Aktueller Stand der Bedrohung
Glücklicherweise stellte Microsoft fest, dass es derzeit keine Hinweise darauf gibt, dass diese Sicherheitsanfälligkeit jemals aktiv von Bedrohungsakteuren in der freien Wildbahn ausgenutzt wurde.
Technische Details
Das EngageLab SDK ist ein Tool, das von Entwicklern verwendet wird, um Push-Benachrichtigungen und Echtzeit-In-App-Nachrichten zu verwalten. Der Sicherheitsfehler wurde auf eine spezifische Komponente (MTCommonActivity) zurückgeführt, die nach dem Build-Prozess automatisch zum Hintergrundcode einer Anwendung hinzugefügt wurde.
Da diese Komponente breit exportiert wurde, war sie für andere Anwendungen, die auf demselben Android-Gerät installiert sind, zugänglich. Eine bösartige App, die auf demselben Gerät installiert ist, könnte eine manipulierte Nachricht (einen „Intent„) erstellen und an die anfällige Krypto-Wallet-App senden. Die Wallet-App würde diesen Intent mit ihrer eigenen vertrauenswürdigen Identität und Berechtigungen verarbeiten, was die Wallet täuschte und der bösartigen App dauerhaften Lese- und Schreibzugriff auf ihre privaten Datenverzeichnisse gewährte.
Reaktion des Android-Ökosystems
Schnelle Maßnahmen wurden im gesamten Android-Ökosystem ergriffen, um die Bedrohung zu mindern.
