A legsebezhetőbbek az androidos kriptovaluta-alkalmazások

Mintegy 50 millió Androidos készülék volt veszélyben egy súlyos biztonsági hiba miatt, amelyet a Microsoft szakértői az EngageLab SDK-ban azonosítottak. A feltárt sebezhetőség lehetővé tette, hogy alkalmazások megkerüljék az Android által biztosított szoftveres „homokozót”, és jogosulatlanul hozzáférjenek személyes adatokhoz – beleértve a felhasználói bejelentkezési adatokat és a pénzügyi információkat. A helyzet súlyát tovább növelte, hogy ezek közül legalább 30 millió telepítés kriptovaluta-alkalmazásokat érintett.

Az EngageLab SDK gyenge pontja

Egészen pontosan az EngageLab SDK egy intent-átirányítási hibájáról volt szó, amely a rosszindulatú alkalmazások számára is megnyitotta az utat bizalmas adatok megszerzéséhez. Az „intent” az Android rendszerén belül az alkalmazások közti kommunikációt szolgálja: adatokat és parancsokat továbbít, például tevékenység (activity) megnyitása vagy egy funkció elindítása céljából. Az azonban, hogy egy intentet fogad-e egy másik alkalmazás, azon múlik, hogy az adott alkalmazás milyen jogosultságokkal rendelkezik.

Gyors javítás és fejlesztői figyelmeztetés

A kritikus hibát 2025 áprilisában, a 4.5.4-es verzióban fedezték fel, majd az 5.2.1-es kiadásban javították, amely 2025 novemberében jelent meg. A sérülékeny SDK-val készült összes alkalmazást eltávolították a digitális piacterekről. Szerencsére eddig nincs bizonyíték arra, hogy a hibát bármely támadó kihasználta volna. A fejlesztőknek mielőbbi SDK-frissítést javasolják.

Tanulság: harmadik féltől származó SDK-k veszélyei

A digitális eszközkezeléshez kapcsolódó alkalmazások különösen érzékenyek a külső függőségekre, mivel egy ilyen hiba akár komplett ellátási láncokat tehet átláthatatlanná és sebezhetővé. Jelen eset világít rá igazán arra, mennyire fontos az alkalmazásokban használt SDK-k folyamatos ellenőrzése és naprakészen tartása.

2026, adrienne, www.techradar.com alapján