Microsoft enthüllte eine kritische Absichtsumleitungs-Schwachstelle in EngageLabs Android-SDK, die stillschweigend über 30 Millionen Krypto-Wallet-Installationen bedrohte.
Eine tief in einer Push-Benachrichtigungs-Bibliothek vergrabene Schwachstelle hat Millionen von Krypto-Nutzern gefährdet. Das Defender Security Research Team von Microsoft deckte eine schwerwiegende Absichtsumleitungs-Schwachstelle (Intent Redirection Vulnerability) im Android-SDK von EngageLab, bekannt als EngageSDK, auf. Die Lücke erlaubte es schädlichen Apps, den Sicherheitssandbox von Android komplett zu umgehen. Von dort aus konnten Angreifer ohne jegliche Benutzerinteraktion auf private Wallet-Daten zugreifen.
Das betroffene SDK wird von Entwicklern zur Handhabung von In-App-Nachrichten und Push-Benachrichtigungen verwendet. Es wird als Abhängigkeit importiert, was bedeutet, dass Entwickler oft nie das vollständige Bild davon sehen, was in ihrer App landet. Allein über 30 Millionen Installationen von Krypto-Wallet-Apps liefen den anfälligen Code. Die Gesamtexposition über alle App-Kategorien hinweg erreichte über 50 Millionen Installationen.
Die verborgene Tür, die niemand bemerkte
Das Problem steckte in einer exportierten Aktivität namens MTCommonActivity. Diese erscheint nur im zusammengeführten Android-Manifest, das nach dem Build-Prozess generiert wird. Dieser Zeitpunkt ist entscheidend. Die meisten Entwickler prüfen das Pre-Build-Manifest und übersehen es einfach.
Da die Aktivität exportiert war, konnte jede andere App auf demselben Gerät einen Intent direkt an sie senden. Die anfällige Aktivität verarbeitete dann diesen Intent und leitete einen neuen unter Verwendung der Identität und Berechtigungen der Host-App weiter. Bei diesem zweiten Intent geht es schnell schief.
Die Forschung von Microsoft bestätigte, dass die Methode eingehende URIs verarbeitete und sie in eine Intent-Konstruktionskette einspeiste. Der Code rief parseUri mit dem Flag URI_ALLOW_UNSAFE auf. Dieses Flag kann den Zugriff auf die Content-Provider einer App öffnen, einschließlich solcher, die nie öffentlich zugänglich sein sollten. Kombiniert mit den persistenten Lese- und Schreibberechtigungs-Flags, die in den Exploit-Intent eingebettet waren, erlangt ein Angreifer dauerhaften Zugriff auf den privaten Speicher der App. Eine erneute Ausnutzung ist nicht erforderlich.
30 Millionen Wallets, eine übersehene Bibliothek
Microsoft identifizierte die Schwachstelle bereits im April 2025 in Version 4.5.4 des SDK. Das Team meldete sie EngageLab über eine koordinierte Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure) via dem Microsoft Security Vulnerability Research-Programm. Das Android Security Team wurde ebenfalls eingeschaltet, da die betroffenen Apps live im Google Play Store waren.
EngageLab patchte sie in Version 5.2.1, die am 3. November 2025 veröffentlicht wurde. Die Lösung war direkt: MTCommonActivity wurde auf nicht-exportiert gesetzt, wodurch der Zugriff durch externe Apps unterbunden wurde. Alle erkannten Apps, die noch die anfällige Version liefen, wurden seitdem aus dem Google Play Store entfernt.
Wie das Microsoft Defender Security Research Team in ihrer Offenlegung feststellte, zeigt das Problem, wie Schwächen in Drittanbieter-SDKs großflächige Auswirkungen haben, insbesondere in Bereichen wie dem Management digitaler Vermögenswerte, wo es 2025 zu wiederholten Sicherheitsproblemen kam. Der Diebstahl von Zugangsdaten, die Preisgabe privater Schlüssel und das Ausspähen personenbezogener Daten (PII) waren für jeden Angreifer, der die Schwachstelle ausnutzte, innerhalb Reichweite.
Zum Zeitpunkt der Offenlegung wurden keine Hinweise auf aktive Ausnutzung gefunden. Android hat zudem aktualisierte Nutzerschutzmaßnahmen eingeführt, die speziell auf das EngageSDK-Risiko abzielen, während Entwickler auf die gepatchte Version wechseln. Nutzer, die eine anfällige App installiert hatten, sind nun geschützt.
Was Entwickler jetzt tun müssen
Jeder Entwickler, der noch eine EngageSDK-Version unter 5.2.1 verwendet, muss sofort aktualisieren. Microsoft hob insbesondere die Überprüfung des zusammengeführten Manifests als einen Schritt hervor, den Entwickler oft überspringen. Drittanbieter-Bibliotheken können exportierte Komponenten in Apps einfügen, ohne dass Entwickler es merken. Diese Komponenten werden zu Angriffsflächen.
Die Forschung weist auch auf ein breiteres Supply-Chain-Problem hin. Apps sind ständig auf externe Bibliotheken angewiesen. Jede ist ein potenzieller Einstiegspunkt, wenn die Integration nicht sorgfältig überprüft wird. Je mehr eine App auf importierte SDKs angewiesen ist, desto schwieriger wird es, jede Komponente im finalen Build nachzuverfolgen.
Die Anleitung von Microsoft knüpft direkt an ihre Defender XDR-Tools und Security Copilot für Teams an, die die Exposition in großem Maßstab bewerten müssen.
Schreibe einen Kommentar