Vieram à tona detalhes sobre uma vulnerabilidade de segurança já corrigida em um SDK de Android de terceiros amplamente usado, o EngageLab SDK, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas.
“Essa falha permite que apps no mesmo dispositivo contornem o sandbox de segurança do Android e obtenham acesso não autorizado a dados privados”, afirmou a equipe Microsoft Defender Security Research em um relatório publicado hoje.
O EngageLab SDK oferece um serviço de push notification que, segundo o site da empresa, foi criado para entregar “notificações em tempo hábil” com base no comportamento do usuário já monitorado pelos desenvolvedores.
Depois de integrado a um app, o SDK passa a permitir o envio de notificações personalizadas e o aumento do engajamento em tempo real.
A gigante de tecnologia informou que uma parcela significativa dos apps que usam o SDK faz parte do ecossistema de criptomoedas e carteiras digitais, e que os aplicativos afetados de carteiras somavam mais de 30 milhões de instalações.
Quando também são incluídos os apps que não são carteiras, mas usam o mesmo SDK, o total ultrapassa 50 milhões de instalações.
A Microsoft não revelou os nomes dos aplicativos, mas observou que todos os apps identificados com versões vulneráveis do SDK já foram removidos da Google Play Store.
Após a divulgação responsável, em abril de 2025, a EngageLab lançou a versão 5.2.1, em novembro de 2025, para corrigir a vulnerabilidade.
O problema, identificado na versão 4.5.4, foi descrito como uma vulnerabilidade de intent redirection.
No Android, intents são objetos de comunicação usados para solicitar uma ação de outro componente do app.
A intent redirection ocorre quando o conteúdo de uma intent enviada por um app vulnerável é manipulado, explorando seu contexto confiável, isto é, suas permissões, para obter acesso não autorizado a componentes protegidos, expor dados sensíveis ou elevar privilégios dentro do ambiente Android.
Um atacante poderia explorar essa falha por meio de um app malicioso instalado no dispositivo por outro método, obtendo acesso a diretórios internos associados a um app que tenha o SDK integrado e, com isso, acessar dados sensíveis sem autorização.
Não há evidências de que a vulnerabilidade tenha sido explorada de forma maliciosa.
Ainda assim, os desenvolvedores que integram o SDK são recomendados a atualizar para a versão mais recente o quanto antes, especialmente porque até falhas aparentemente triviais em bibliotecas upstream podem gerar impactos em cascata e afetar milhões de dispositivos.
“Este caso mostra como vulnerabilidades em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor, como gestão de ativos digitais”, afirmou a Microsoft.
“Os apps dependem cada vez mais de SDKs de terceiros, criando cadeias de supply chain extensas e muitas vezes pouco transparentes.
Esses riscos aumentam quando integrações expõem componentes exported ou dependem de premissas de confiança que não são validadas entre as fronteiras dos apps.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...