Microsoft phát hiện lỗ hổng chuyển hướng ý định nghiêm trọng trong SDK Android của EngageLab, âm thầm đe dọa hơn 30 triệu lượt cài đặt ví tiền điện tử.
Một lỗ hổng ẩn sâu trong thư viện thông báo đẩy vừa đặt hàng triệu người dùng tiền điện tử vào nguy cơ. Nhóm Nghiên cứu Bảo mật Defender của Microsoft đã tiết lộ một lỗ hổng chuyển hướng ý định nghiêm trọng trong SDK Android của EngageLab, có tên là EngageSDK. Lỗ hổng này cho phép các ứng dụng độc hại hoàn toàn vượt qua hộp cát bảo mật của Android. Từ đó, kẻ tấn công có thể tiếp cận dữ liệu ví riêng tư mà không cần bất kỳ tương tác nào từ người dùng.
SDK bị ảnh hưởng được các nhà phát triển sử dụng để xử lý tin nhắn trong ứng dụng và thông báo đẩy. Nó được nhập vào như một phần phụ thuộc, đồng nghĩa với việc các nhà phát triển thường không bao giờ thấy được toàn cảnh những gì tồn tại bên trong ứng dụng của họ. Hơn 30 triệu lượt cài đặt riêng các ứng dụng ví tiền điện tử đang chạy mã dễ bị tấn công. Tổng số lượt cài đặt bị ảnh hưởng trên tất cả danh mục ứng dụng vượt quá 50 triệu.
Cánh Cổn Ẩn Mà Không Ai Để Ý
Vấn đề nằm bên trong một hoạt động đã xuất (exported activity) có tên là MTCommonActivity. Nó chỉ xuất hiện trong tệp kê khai Android đã hợp nhất, được tạo ra sau quá trình build. Thời điểm đó rất quan trọng. Hầu hết nhà phát triển chỉ xem xét tệp kê khai trước khi build và đơn giản là bỏ lỡ nó.
Vì hoạt động này được xuất ra, bất kỳ ứng dụng nào khác trên cùng thiết bị có thể gửi một intent (ý định) trực tiếp đến nó. Hoạt động dễ bị tổn thương sau đó xử lý intent đó và phân phát một intent mới sử dụng danh tính và quyền riêng của ứng dụng chủ. Intent thứ hai chính là nơi mọi thứ nhanh chóng trở nên sai lầm.
Nghiên cứu của Microsoft xác nhận phương thức này xử lý các URI đến và đưa chúng vào một chuỗi xây dựng intent. Mã lệnh gọi parseUri với cờ URI_ALLOW_UNSAFE. Cờ này có thể mở quyền truy cập vào các nhà cung cấp nội dung (content providers) của ứng dụng, bao gồm cả những nhà cung cấp chưa bao giờ được định dạng công khai. Kết hợp với các cờ quyền đọc và ghi liên tục được nhúng vào intent khai thác, kẻ tấn công giành được quyền truy cập lâu dài vào bộ nhớ riêng tư của ứng dụng. Không cần khai thác lại.
30 Triệu Ví Tiền, Một Thư Viện Bị Bỏ Qua
Microsoft đã xác định lỗ hổng này trong phiên bản 4.5.4 của SDK từ tháng 4 năm 2025. Nhóm đã báo cáo nó cho EngageLab thông qua Chương trình Tiết lộ Lỗ hổng Đã Điều phối (CVD) thuộc chương trình Nghiên cứu Lỗ hổng Bảo mật Microsoft. Nhóm Bảo mật Android cũng được thông báo vì các ứng dụng bị ảnh hưởng đang hoạt động trên Google Play.
EngageLab đã vá lỗi trong phiên bản 5.2.1, phát hành ngày 3 tháng 11 năm 2025. Bản sửa lỗi rất trực tiếp: MTCommonActivity được đặt thành không xuất (non-exported), cắt đứt đường truy cập từ các ứng dụng bên ngoài. Tất cả các ứng dụng bị phát hiện vẫn đang chạy phiên bản dễ bị tấn công đã bị gỡ khỏi Google Play.
Như Nhóm Nghiên cứu Bảo mật Defender của Microsoft đã lưu ý trong bản tiết lộ, vấn đề cho thấy điểm yếu trong các SDK của bên thứ ba có thể mang lại hệ quả trên quy mô lớn, đặc biệt là trong các lĩnh vực như quản lý tài sản số, nơi năm 2025 chứng kiến hàng loạt thất bại về bảo mật. Việc đánh cắp thông tin xác thực, lộ khóa riêng tư và rò rỉ thông tin cá nhân (PII) đều nằm trong tầm tay của bất kỳ kẻ tấn công nào khai thác lỗ hổng này.
Không có bằng chứng nào về việc khai thác chủ động được tìm thấy tại thời điểm tiết lộ. Android cũng đã triển khai các biện pháp bảo vệ cấp người dùng được cập nhật nhắm vào rủi ro cụ thể từ EngageSDK trong khi các nhà phát triển chuyển sang phiên bản đã vá. Người dùng đã cài đặt ứng dụng dễ bị tổn thương hiện đã được bảo vệ.
Điều Các Nhà Phát Triển Phải Làm Ngay Bây Giờ
Bất kỳ nhà phát triển nào vẫn đang chạy EngageSDK dưới phiên bản 5.2.1 cần cập nhật ngay lập tức. Microsoft đặc biệt chỉ ra việc xem xét tệp kê khai đã hợp nhất là một bước các nhà phát triển thường bỏ qua. Các thư viện của bên thứ ba có thể đưa các thành phần đã xuất vào ứng dụng mà nhà phát triển không hề hay biết. Những thành phần đó trở thành bề mặt tấn công.
Nghiên cứu cũng chỉ ra một vấn đề chuỗi cung ứng rộng hơn. Ứng dụng liên tục phụ thuộc vào các thư viện bên ngoài. Mỗi thư viện là một điểm vào tiềm năng nếu việc tích hợp không được kiểm tra cẩn thận. Ứng dụng càng phụ thuộc nhiều vào các SDK được nhập vào, thì càng khó theo dõi mọi thành phần có mặt trong bản build cuối cùng.
Hướng dẫn của Microsoft liên kết trực tiếp với công cụ Defender XDR và Security Copilot của họ dành cho các nhóm cần đánh giá mức độ phơi nhiễm trên quy mô lớn.
Để lại một bình luận