严重漏洞影响加密货币钱包
一项新发布的报告显示,微软Defender安全研究团队发现,流行的第三方Android软件开发工具包(SDK)存在严重漏洞,导致数千万个加密货币钱包面临数据盗窃的风险。该漏洞使恶意应用程序能够绕过Android的核心安全沙箱。
受影响的应用程序范围广泛,由于存储数据的高价值性,加密货币和数字钱包生态系统遭受了最严重的影响。微软识别出超过3000万个受影响的第三方加密钱包应用程序的安装量,总曝光量超过5000万次。
潜在风险与影响
如果被利用,该漏洞可能会暴露个人身份信息(PII)、用户的私密凭证以及存储在受影响应用程序私有目录中的敏感财务数据。幸运的是,微软指出,目前没有证据表明该漏洞曾在实际环境中被威胁行为者积极利用。
EngageLab SDK的安全漏洞
EngageLab SDK是开发者用于管理推送通知和实时应用内消息的工具。安全漏洞追溯到一个特定组件(MTCommonActivity),该组件在构建过程中自动添加到应用程序的后台代码中。由于该组件被广泛导出,因此它对安装在同一Android设备上的其他应用程序可访问。
安装在同一设备上的恶意应用程序可以构造一个操控消息(“意图”),并将其发送到易受攻击的加密钱包应用程序。钱包应用程序会使用其自身的可信身份和权限处理该意图。这一手段欺骗了钱包,使其授予恶意应用程序对其私有数据目录的持久读写访问权限。
Android生态系统迅速采取行动,以减轻这一威胁。
