深刻な脆弱性の発見
人気のあるサードパーティ製Androidソフトウェア開発キット(SDK)の深刻な脆弱性により、数千万の暗号通貨ウォレットがデータ盗難に対して脆弱になっていると、Microsoft Defenderセキュリティ研究チームの新たに発表された報告書が伝えています。この欠陥により、悪意のあるアプリケーションがAndroidのコアセキュリティサンドボックスを回避できるようになりました。
影響を受けるアプリケーション
この脆弱性は、幅広いアプリケーションに影響を及ぼしています。特に、暗号通貨およびデジタルウォレットのエコシステムは、保存されたデータの高価値性により、最も影響を受けました。Microsoftは、影響を受けたサードパーティ製の暗号ウォレットアプリケーションのインストール数が3000万を超えることを確認しました。総露出数は5000万を超えています。
脆弱性の詳細と影響
この脆弱性が悪用されると、個人を特定できる情報(PII)、プライベートユーザー認証情報、および影響を受けたアプリのプライベートディレクトリに保存された機密の財務データが露出する可能性があります。幸いなことに、Microsoftはこの脆弱性が実際に悪用された証拠は現在のところ存在しないと指摘しています。
EngageLab SDKの役割
EngageLab SDKは、開発者がプッシュ通知やリアルタイムのアプリ内メッセージングを管理するために使用するツールです。このセキュリティの欠陥は、ビルドプロセス後にアプリケーションのバックグラウンドコードに自動的に追加された特定のコンポーネント(MTCommonActivity)に起因しています。このコンポーネントが広くエクスポートされたため、同じAndroidデバイスにインストールされた他のアプリケーションからアクセス可能になりました。
悪意のあるアプリの影響
同じデバイスにインストールされた悪意のあるアプリは、操作されたメッセージ(「インテント」)を作成し、脆弱な暗号ウォレットアプリに送信することができました。ウォレットアプリは、自身の信頼されたアイデンティティと権限を使用してこのインテントを処理しました。このトリックにより、ウォレットは悪意のあるアプリにプライベートデータディレクトリへの持続的な読み取りおよび書き込みアクセスを許可してしまいました。
対応と今後の展望
Androidエコシステム全体で迅速な対応が行われ、脅威を軽減しました。今後も引き続き、セキュリティの強化が求められます。
