Серьезная уязвимость в SDK для Android
Серьезная уязвимость в популярном стороннем наборе инструментов разработки программного обеспечения для Android (SDK) поставила под угрозу десятки миллионов криптовалютных кошельков, оставив их уязвимыми для кражи данных. Об этом говорится в недавно опубликованном отчете команды исследований безопасности Microsoft Defender.
Описание уязвимости
Этот недостаток позволил вредоносным приложениям обойти основную защитную песочницу Android. Уязвимость затронула широкий спектр приложений, и экосистема криптовалют и цифровых кошельков понесла основной удар из-за высокой ценности хранимых данных.
Microsoft выявила более 30 миллионов установок затронутых сторонних приложений для криптовалютных кошельков, а общее количество уязвимых установок превысило 50 миллионов. Если бы уязвимость была использована, она могла бы раскрыть личную идентифицируемую информацию (PII), частные учетные данные пользователей и чувствительные финансовые данные, хранящиеся в частных каталогах затронутого приложения.
Текущая ситуация
К счастью, Microsoft отметила, что в настоящее время нет доказательств того, что эта уязвимость когда-либо активно использовалась злоумышленниками в реальной среде.
Технические детали
EngageLab SDK — это инструмент, используемый разработчиками для управления push-уведомлениями и обменом сообщениями в реальном времени в приложениях. Уязвимость была прослежена до конкретного компонента (MTCommonActivity), который автоматически добавлялся в фоновый код приложения после процесса сборки.
Поскольку этот компонент был широко экспортирован, он стал доступен для других приложений, установленных на том же устройстве Android. Вредоносное приложение, установленное на том же устройстве, могло создать манипулированное сообщение (намерение) и отправить его в уязвимое приложение для криптовалютного кошелька.
Приложение-кошелек обрабатывало это намерение, используя свою собственную доверенную идентичность и разрешения, что обмануло кошелек и предоставило вредоносному приложению постоянный доступ на чтение и запись к его частным каталогам данных.
Меры по смягчению угрозы
Были предприняты быстрые меры по смягчению угрозы в экосистеме Android.
