Seryosong Kahinaan sa Third-Party Android SDK
Isang seryosong kahinaan sa isang kilalang third-party Android software development kit (SDK) ang nag-iwan ng milyon-milyong cryptocurrency wallets na vulnerable sa pagnanakaw ng data, ayon sa isang bagong ulat mula sa Microsoft Defender Security Research Team. Ang depektong ito ay nagbigay-daan sa mga mapanlinlang na aplikasyon na makalampas sa pangunahing seguridad ng Android.
Apektadong Aplikasyon at Exposure
Ang kahinaan ay nakaapekto sa isang malawak na hanay ng mga aplikasyon, ngunit ang ecosystem ng cryptocurrency at digital wallets ang pinaka-apektado dahil sa mataas na halaga ng nakatabing data. Nakilala ng Microsoft ang higit sa 30 milyong pag-install ng mga apektadong third-party crypto wallet applications, at ang kabuuang exposure ay lumampas sa 50 milyong pag-install.
Posibleng Epekto ng Kahinaan
Kung ito ay na-exploit, ang kahinaan ay maaaring nagbigay-daan sa paglabas ng Personally Identifiable Information (PII), pribadong kredensyal ng gumagamit, at sensitibong financial data na nakaimbak sa malalim na bahagi ng pribadong direktoryo ng apektadong app. Sa kabutihang palad, itinuro ng Microsoft na sa kasalukuyan ay walang ebidensya na nagpapakita na ang kahinaang ito ay aktibong na-exploit ng mga banta sa totoong mundo.
Detalye ng EngageLab SDK
Ang EngageLab SDK ay isang tool na ginagamit ng mga developer upang pamahalaan ang mga push notification at real-time na messaging sa loob ng app. Ang seguridad na depekto ay natukoy sa isang tiyak na bahagi (MTCommonActivity) na awtomatikong idinagdag sa background code ng isang aplikasyon pagkatapos ng proseso ng build.
Mechanismo ng Pag-atake
Dahil ang bahagi na ito ay malawak na na-export, ito ay naging accessible sa iba pang mga aplikasyon na naka-install sa parehong Android device. Ang isang mapanlinlang na app na naka-install sa parehong device ay maaaring lumikha ng isang manipuladong mensahe (isang “intent”) at ipadala ito sa vulnerable crypto wallet app. Ang wallet app ay iproseso ang intent na ito gamit ang sarili nitong pinagkakatiwalaang pagkakakilanlan at pahintulot, na nagbigay-daan sa wallet na bigyan ang mapanlinlang na app ng patuloy na access sa pagbabasa at pagsusulat sa mga pribadong direktoryo ng data nito.
Mga Hakbang sa Seguridad
Mabilis na aksyon ang isinagawa sa buong ecosystem ng Android upang mabawasan ang banta.
