Microsoft legde een kritieke intent-omleidingsfout bloot in EngageLab’s Android-SDK, die stilletjes meer dan 30 miljoen crypto-wallet-installaties bedreigde.
Een fout die diep begraven lag in een pushnotificatiebibliotheek heeft miljoenen cryptogebruikers in gevaar gebracht. Microsoft’s Defender Security Research Team onthulde een ernstige intent-omleidingskwetsbaarheid in EngageLab’s Android-SDK, bekend als EngageSDK. De fout liet kwaadaardige apps de beveiligingssandbox van Android volledig omzeilen. Vanaf daar konden aanvallers zonder enige gebruikersinteractie bij privéwalletgegevens komen.
De getroffen SDK wordt door ontwikkelaars gebruikt om app-intern berichtenverkeer en pushnotificaties af te handelen. Het wordt geïmporteerd als een afhankelijkheid, wat betekent dat ontwikkelaars vaak nooit het volledige beeld zien van wat er in hun app terechtkomt. Alleen al meer dan 30 miljoen installaties van crypto-wallet-apps draaiden de kwetsbare code. De totale blootstelling over alle app-categorieën heen bereikte meer dan 50 miljoen installaties.
De verborgen deur die niemand opmerkte
Het probleem zat in een geëxporteerde activiteit genaamd MTCommonActivity. Deze verschijnt alleen in het samengevoegde Android-manifest, dat wordt gegenereerd na het bouwproces. Die timing is belangrijk. De meeste ontwikkelaars bekijken het pre-build-manifest en missen het simpelweg.
Omdat de activiteit geëxporteerd was, kon elke andere app op hetzelfde apparaat een intent rechtstreeks ernaar sturen. De kwetsbare activiteit verwerkte die intent vervolgens en stuurde een nieuwe de wereld in met de identiteit en machtigingen van de host-app. Die tweede intent is waar het snel misgaat.
Microsofts onderzoek bevestigde dat de methode binnenkomende URI’s verwerkte en ze voedde in een intent-constructieketen. De code riep parseUri aan met de URI_ALLOW_UNSAFE-vlag. Die vlag kan toegang openen tot de contentproviders van een app, inclusief diegenen die nooit openbaar bedoeld waren. Gecombineerd met de persistente lees- en schrijfmachtigingsvlaggen die in de exploit-intent waren ingebakken, verkrijgt een aanvaller blijvende toegang tot de privéopslag van de app. Herhaalde exploitatie is niet nodig.
30 miljoen wallets, één over het hoofd gezien bibliotheek
Microsoft identificeerde de fout in versie 4.5.4 van de SDK in april 2025. Het team meldde het bij EngageLab via gecoördineerde kwetsbaarheidsopenbaarmaking via het Microsoft Security Vulnerability Research-programma. Het Android-beveiligingsteam werd ook ingeschakeld, aangezien de getroffen apps actief waren op Google Play.
EngageLab patchte het in versie 5.2.1, uitgebracht op 3 november 2025. De fix was direct: MTCommonActivity werd ingesteld op niet-geëxporteerd, waardoor externe apps er niet meer bij konden. Alle gedetecteerde apps die nog steeds de kwetsbare versie draaiden, zijn sindsdien verwijderd van Google Play.
Zoals het Microsoft Defender Security Research Team opmerkte in hun openbaarmaking, toont het probleem aan hoe zwakheden in SDK’s van derden grootschalige gevolgen hebben, vooral in sectoren zoals digitaal vermogensbeheer, waar 2025 herhaalde beveiligingsfouten liet zien. Diefstal van inloggegevens, blootstelling van privésleutels en lekken van persoonlijk identificeerbare informatie (PII) waren allemaal binnen bereik voor elke aanvaller die de fout uitbuitte.
Er is op het moment van openbaarmaking geen bewijs gevonden van actieve uitbuiting. Android heeft ook bijgewerkte gebruikersbeschermingen uitgerold die zich richten op het specifieke EngageSDK-risico, terwijl ontwikkelaars overstappen op de gepatchte versie. Gebruikers die een kwetsbare app hadden geïnstalleerd, zijn nu gedekt.
Wat ontwikkelaars nu moeten doen
Elke ontwikkelaar die nog EngageSDK draait onder versie 5.2.1, moet onmiddellijk bijwerken. Microsoft wees specifiek op de beoordeling van het samengevoegde manifest als een stap die ontwikkelaars vaak overslaan. Bibliotheken van derden kunnen geëxporteerde componenten in apps injecteren zonder dat ontwikkelaars het beseffen. Die componenten worden aanvalsoppervlakken.
Het onderzoek signaleert ook een breder probleem in de toeleveringsketen. Apps zijn constant afhankelijk van externe bibliotheken. Elke is een potentieel toegangspunt als de integratie niet zorgvuldig wordt gecontroleerd. Hoe meer een app vertrouwt op geïmporteerde SDK’s, hoe moeilijker het wordt om elke component die in de uiteindelijke build terechtkomt te volgen.
Microsofts richtlijnen sluiten direct aan bij de Defender XDR-tooling en Security Copilot voor teams die blootstelling op grote schaal moeten beoordelen.
Geef een reactie