Vulnérabilité critique dans un SDK Android
Une vulnérabilité critique dans un kit de développement logiciel (SDK) tiers populaire pour Android a mis en danger des dizaines de millions de portefeuilles de cryptomonnaie, les rendant vulnérables au vol de données. Ce constat provient d’un rapport récemment publié par l’équipe de recherche en sécurité de Microsoft Defender.
Impact sur l’écosystème des cryptomonnaies
Cette faille a permis à des applications malveillantes de contourner le bac à sable de sécurité d’Android. L’écosystème des cryptomonnaies et des portefeuilles numériques a été particulièrement touché en raison de la valeur élevée des données stockées. Microsoft a identifié plus de 30 millions d’installations d’applications de portefeuilles crypto tiers affectées, avec une exposition totale dépassant 50 millions d’installations.
Si elle avait été exploitée, cette vulnérabilité aurait pu compromettre des informations personnellement identifiables (PII), des identifiants d’utilisateur privés et des données financières sensibles, stockées dans les répertoires privés des applications concernées. Heureusement, Microsoft a précisé qu’il n’existe actuellement aucune preuve suggérant que cette vulnérabilité ait été exploitée activement par des acteurs malveillants.
Origine de la faille de sécurité
Le SDK EngageLab, utilisé par les développeurs pour gérer les notifications push et la messagerie en temps réel dans les applications, est à l’origine de cette faille de sécurité. Celle-ci a été retracée à un composant spécifique (MTCommonActivity) qui était automatiquement ajouté au code de fond d’une application après le processus de construction.
Étant donné que ce composant était largement exporté, il est devenu accessible à d’autres applications installées sur le même appareil Android. Une application malveillante installée sur le même appareil pouvait alors créer un message manipulé (un « intent ») et l’envoyer à l’application de portefeuille crypto vulnérable. Cette dernière traitait l’intent en utilisant sa propre identité et ses permissions de confiance, trompant ainsi le portefeuille et accordant à l’application malveillante un accès en lecture et écriture persistant à ses répertoires de données privées.
Mesures d’atténuation
Des mesures rapides ont été mises en place dans tout l’écosystème Android pour atténuer cette menace.
