Alvorlig Sårbarhet i Android SDK
En alvorlig sårbarhet i et populært tredjeparts Android-programvareutviklingssett (SDK) har gjort titalls millioner av kryptovaluta-lommebøker sårbare for datatyveri, ifølge en nylig publisert rapport fra Microsoft Defender Security Research Team.
Omfanget av Sårbarheten
Feilen har gjort det mulig for ondsinnede applikasjoner å omgå Androids kjerne sikkerhetssandkasse. Sårbarheten har påvirket et bredt spekter av applikasjoner, men kryptovaluta- og digitale lommebøker har fått den største belastningen av eksponeringen på grunn av den høye verdien av de lagrede dataene.
Microsoft identifiserte over 30 millioner installasjoner av berørte tredjeparts kryptovaluta-lommebokapplikasjoner, og den totale eksponeringen oversteg 50 millioner installasjoner. Hvis sårbarheten ble utnyttet, kunne den ha eksponert personlig identifiserbar informasjon (PII), private brukerlegitimasjoner og sensitiv finansiell informasjon lagret dypt inne i de berørte appenes private kataloger.
Heldigvis bemerket Microsoft at det for øyeblikket ikke er noen bevis som tyder på at denne sårbarheten noen gang har blitt aktivt utnyttet av trusselaktører.
EngageLab SDK og Sikkerhetsfeilen
EngageLab SDK er et verktøy som brukes av utviklere for å administrere push-varsler og sanntidsmeldinger i applikasjoner. Sikkerhetsfeilen ble sporet til en spesifikk komponent (MTCommonActivity) som automatisk ble lagt til i en applikasjons bakgrunnskode etter byggeprosessen.
Fordi denne komponenten ble bredt eksportert, ble den tilgjengelig for andre applikasjoner installert på samme Android-enhet. En ondsinnet app installert på samme enhet kunne lage en manipulert melding (en «intent») og sende den til den sårbare kryptovaluta-lommebokappen.
Lommebokappen ville behandle denne intenten ved å bruke sin egen betrodde identitet og tillatelser, noe som lurte lommeboken til å gi den ondsinnede appen vedvarende lese- og skriveadgang til sine private datakataloger.
Rask handling ble tatt på tvers av Android-økosystemet for å dempe trusselen.
