Microsoft legde een kritieke intent-omleidingsfout bloot in EngageLab’s Android-SDK, die stilletjes meer dan 30 miljoen crypto-wallet-installaties bedreigde.
Een fout die diep verborgen zat in een pushmeldingenbibliotheek heeft miljoenen cryptogebruikers in gevaar gebracht. Het Defender Security Research Team van Microsoft onthulde een ernstige kwetsbaarheid voor intent-omleiding in EngageLab’s Android-SDK, bekend als EngageSDK. De fout stelde kwaadaardige apps in staat de beveiligingssandbox van Android volledig te omzeilen. Vanaf daar konden aanvallers zonder enige gebruikersinteractie bij privé-walletgegevens komen.
De getroffen SDK wordt door ontwikkelaars gebruikt om app-intern berichtenverkeer en pushmeldingen te verwerken. Hij wordt geïmporteerd als een afhankelijkheid, wat betekent dat ontwikkelaars vaak nooit het volledige beeld zien van wat er in hun app terechtkomt. Alleen al meer dan 30 miljoen installaties van cryptowallet-apps draaiden de kwetsbare code. De totale blootstelling over alle app-categorieën heen bereikte meer dan 50 miljoen installaties.
De verborgen deur die niemand opmerkte
Het probleem zat in een geëxporteerde activiteit genaamd MTCommonActivity. Deze verschijnt alleen in het samengevoegde Android-manifest, dat na het bouwproces wordt gegenereerd. Die timing is belangrijk. De meeste ontwikkelaars bekijken het pre-build-manifest en missen het simpelweg.
Omdat de activiteit was geëxporteerd, kon elke andere app op hetzelfde apparaat er een intent rechtstreeks naartoe sturen. De kwetsbare activiteit verwerkte die intent vervolgens en stuurde een nieuwe intent uit met de identiteit en rechten van de host-app zelf. Bij die tweede intent gaat het snel mis.
Het onderzoek van Microsoft bevestigde dat de methode binnenkomende URI’s verwerkte en deze in een intent-constructieketen voedde. De code riep parseUri aan met de URI_ALLOW_UNSAFE-vlag. Die vlag kan toegang openen tot de contentproviders van een app, inclusief degenen die nooit openbaar bedoeld waren. In combinatie met de permanente lees- en schrijfrechten die in de exploit-intent waren ingebakken, krijgt een aanvaller blijvende toegang tot de privéopslag van de app. Herhaalde exploitatie is niet nodig.
30 miljoen wallets, één over het hoofd gezien bibliotheek
Microsoft identificeerde de fout in april 2025 in versie 4.5.4 van de SDK. Het team meldde het bij EngageLab via gecoördineerde kwetsbaarheidsopenbaarmaking via het Microsoft Security Vulnerability Research-programma. Het Android Security Team werd ook ingeschakeld, aangezien de getroffen apps live op Google Play stonden.
EngageLab patchte het in versie 5.2.1, uitgebracht op 3 november 2025. De oplossing was rechttoe rechtaan: MTCommonActivity werd ingesteld op niet-geëxporteerd, waardoor externe apps er niet meer bij konden. Alle gedetecteerde apps die nog steeds de kwetsbare versie draaiden, zijn sindsdien verwijderd van Google Play.
Zoals het Microsoft Defender Security Research Team in hun openbaarmaking opmerkte, toont het probleem aan hoe zwakheden in SDK’s van derden grootschalige gevolgen hebben, vooral in sectoren zoals digitaal vermogensbeheer, waar 2025 herhaalde beveiligingsfouten liet zien. Diefstal van inloggegevens, blootstelling van privésleutels en lekken van persoonlijk identificeerbare informatie waren allemaal binnen bereik voor elke aanvaller die de fout uitbuitte.
Er is op het moment van openbaarmaking geen bewijs gevonden van actieve uitbuiting. Android heeft ook bijgewerkte gebruikersbeschermingen uitgebracht die gericht zijn op het specifieke EngageSDK-risico, terwijl ontwikkelaars overstappen op de gepatchte versie. Gebruikers die een kwetsbare app hadden geïnstalleerd, zijn nu gedekt.
Wat ontwikkelaars nu moeten doen
Elke ontwikkelaar die nog EngageSDK draait lager dan versie 5.2.1, moet onmiddellijk updaten. Microsoft benadrukte specifiek de controle van het samengevoegde manifest als een stap die ontwikkelaars vaak overslaan. Bibliotheken van derden kunnen geëxporteerde componenten in apps injecteren zonder dat ontwikkelaars het beseffen. Die componenten worden aanvalsoppervlakken.
Het onderzoek wijst ook op een breder supplychain-probleem. Apps zijn constant afhankelijk van externe bibliotheken. Elke is een potentieel toegangspunt als de integratie niet zorgvuldig wordt gecontroleerd. Hoe meer een app afhankelijk is van geïmporteerde SDK’s, hoe moeilijker het wordt om elke component te volgen die in de uiteindelijke build terechtkomt.
De richtlijnen van Microsoft sluiten direct aan op hun Defender XDR-tooling en Security Copilot voor teams die blootstelling op grote schaal moeten beoordelen.
Geef een reactie