Фахівці Microsoft повідомили про серйозну вразливість у популярному наборі інструментів для розробників, яка могла поставити під загрозу дані десятків мільйонів користувачів Android, повідомляє TechSpot. Йдеться про проблему в EngageLab SDK – програмному компоненті, який широко використовують для реалізації push-сповіщень і внутрішніх повідомлень у додатках.
За оцінками дослідників, вразливі застосунки були встановлені приблизно на 50 мільйонах пристроїв, при цьому щонайменше 30 мільйонів завантажень припадали на криптовалютні сервіси.
Проблема отримала назву “intent redirection vulnerability” і дозволяла шкідливим додаткам обходити механізми захисту Android. Зокрема, зловмисники могли отримати несанкціонований доступ до конфіденційних даних, що зберігаються на пристрої, включно з обліковими записами та фінансовою інформацією.
Механізм intent в Android відповідає за взаємодію між додатками або їхніми компонентами, передаючи дані та команди для виконання певних дій. Хоча будь-яка програма може надсилати такі запити, їх обробка зазвичай обмежується перевірками прав доступу. Виявлена вразливість фактично дозволяла обійти ці обмеження.
Помилку було виявлено у квітні 2025 року у версії SDK 4.5.4, а виправлення випустили лише в листопаді того ж року у версії 5.2.1. Усі додатки з уразливим компонентом на даний момент вже видалили з Google Play Store.
У Microsoft зазначили, що не знайшли доказів використання цієї вразливості у реальних атаках до її виявлення. Водночас розробникам наполегливо рекомендують якнайшвидше оновити SDK, аби уникнути потенційних ризиків.
Експерти наголошують, що цей випадок демонструє масштабну проблему залежності від сторонніх компонентів. Використання зовнішніх SDK значно пришвидшує розробку, однак водночас створює додаткові ризики, особливо у сферах, пов’язаних із цифровими активами та фінансовими сервісами.
