Microsoft a exposé une faille critique de redirection d’intention dans le SDK Android d’EngageLab, menaçant silencieusement plus de 30 millions d’installations de portefeuilles crypto.
Une faille enfouie au cœur d’une bibliothèque de notifications push vient de mettre des millions d’utilisateurs de crypto en danger. L’équipe Microsoft Defender Security Research a divulgué une grave vulnérabilité de redirection d’intention dans le SDK Android d’EngageLab, connu sous le nom d’EngageSDK. Cette failre permettait à des applications malveillantes de contourner entièrement le bac à sable (sandbox) de sécurité d’Android. De là, les attaquants pouvaient atteindre les données privées des portefeuilles sans aucune interaction de l’utilisateur.
Le SDK affecté est utilisé par les développeurs pour gérer la messagerie dans l’application et les notifications push. Il est importé en tant que dépendance, ce qui signifie que les développeurs n’ont souvent jamais une vue d’ensemble de ce qui atterrit dans leur application. Rien que pour les applications de portefeuille crypto, plus de 30 millions d’installations exécutaient le code vulnérable. L’exposition totale, toutes catégories d’applications confondues, dépassait les 50 millions d’installations.
La Porte Dérobée que Personne n’a Remarquée
Le problème se trouvait à l’intérieur d’une activité exportée appelée MTCommonActivity. Elle n’apparaît que dans le manifeste Android fusionné, généré après le processus de compilation. Ce timing est important. La plupart des développeurs examinent le manifeste pré-compilation et la manquent simplement.
Comme l’activité était exportée, n’importe quelle autre application sur le même appareil pouvait lui envoyer une intention (intent) directement. L’activité vulnérable traitait alors cette intention et en expédiait une nouvelle en utilisant l’identité et les autorisations de l’application hôte. C’est avec cette seconde intention que les choses déraillent rapidement.
La recherche de Microsoft a confirmé que la méthode traitait les URI entrants et les injectait dans une chaîne de construction d’intention. Le code invoquait parseUri avec le drapeau URI_ALLOW_UNSAFE. Ce drapeau peut ouvrir l’accès aux fournisseurs de contenu (content providers) d’une application, y compris ceux qui n’étaient jamais destinés à être publics. Combiné avec les drapeaux de permission de lecture et d’écriture persistants intégrés dans l’intention d’exploitation, un attaquant obtenait un accès durable au stockage privé de l’application. Aucune ré-exploitation nécessaire.
30 Millions de Portefeuilles, Une Bibliothèque Négligée
Microsoft a identifié la faille dans la version 4.5.4 du SDK en avril 2025. L’équipe l’a signalée à EngageLab via une Divulgation Coordonnée de Vulnérabilité (CVD) via le programme Microsoft Security Vulnerability Research. L’équipe de sécurité d’Android a également été mise dans la boucle étant donné que les applications affectées étaient en ligne sur Google Play.
EngageLab l’a corrigée dans la version 5.2.1, publiée le 3 novembre 2025. Le correctif était direct : MTCommonActivity a été configurée comme non exportée, coupant l’accès des applications extérieures. Toutes les applications détectées fonctionnant encore sur la version vulnérable ont depuis été supprimées de Google Play.
Comme l’a noté l’équipe Microsoft Defender Security Research dans sa divulgation, ce problème montre comment les faiblesses dans les SDK tiers ont des implications à grande échelle, en particulier dans des secteurs comme la gestion d’actifs numériques, où l’année 2025 a connu des échecs de sécurité répétés. Le vol d’identifiants, l’exposition de clés privées et les fuites de données personnelles (PII) étaient tous à portée de tout attaquant exploitant la faille.
Aucune preuve d’exploitation active n’a été trouvée au moment de la divulgation. Android a également déployé des protections mises à jour au niveau utilisateur ciblant le risque spécifique à l’EngageSDK pendant que les développeurs migrent vers la version corrigée. Les utilisateurs qui avaient installé une application vulnérable sont désormais couverts.
Ce que les Développeurs Doivent Faire Maintenant
Tout développeur utilisant encore une version d’EngageSDK inférieure à la 5.2.1 doit mettre à jour immédiatement. Microsoft a spécifiquement souligné l’examen du manifeste fusionné comme une étape que les développeurs sautent souvent. Les bibliothèques tierces peuvent injecter des composants exportés dans les applications sans que les développeurs s’en rendent compte. Ces composants deviennent des surfaces d’attaque.
La recherche souligne également un problème plus large de chaîne d’approvisionnement. Les applications dépendent constamment de bibliothèques externes. Chacune est un point d’entrée potentiel si l’intégration n’est pas soigneusement auditée. Plus une application repose sur des SDK importés, plus il devient difficile de suivre chaque composant qui se retrouve dans la version finale.
Les conseils de Microsoft sont directement liés à ses outils Defender XDR et Security Copilot pour les équipes qui doivent évaluer l’exposition à grande échelle.
Laisser un commentaire