Уязвимость в популярном SDK для Android ударила по миллионам человек

Стали известны детали уязвимости в стороннем Android-компоненте EngageLab SDK, которая могла создавать серьёзные риски для пользователей криптокошельков и других приложений. Как выяснили специалисты Microsoft Defender Security Research, проблема позволяла обходить защиту системы и получать доступ к данным других программ на устройстве.

EngageLab SDK используется разработчиками для отправки push-уведомлений и повышения активности пользователей. Однако именно этот инструмент оказался уязвимым местом в ряде приложений.

В Microsoft указали, что значительная часть программ с этим SDK относится к сфере криптовалют. Такие приложения суммарно скачали более 30 миллионов раз, а общее число установок всех программ с этим компонентом превышает 50 миллионов.

Речь идёт о версии SDK 4.5.4, где обнаружили уязвимость типа intent redirection. Она позволяла вредоносному приложению на том же устройстве вмешиваться в системные процессы Android и получать доступ к внутренним файлам других приложений, включая конфиденциальную информацию.

Названия затронутых приложений не раскрываются. При этом в Microsoft сообщили, что все программы с уязвимой версией SDK уже удалены из Google Play. После того как проблема была раскрыта в апреле 2025 года, разработчики EngageLab выпустили исправление в версии 5.2.1.

Отмечается, что на данный момент нет данных о реальном использовании этой уязвимости в атаках.

Рекомендуем также:

1. Обычные пельмени больше не варю: готовлю кисло-острый суп, который получается в разы вкуснее
2. Что дать смородине в апреле, чтобы собрать ведра ягод: лучшие удобрения для рекордного урожая
3. Рыба под сливочным соусом, которую просят готовить снова: нежный вкус, покоряющий с первой вилки
4. Домашний ужин без заморочек: картошка с фаршем и помидорами, которая получается сочной и ароматной
5. Бархатцы могут спасти урожай или навредить: куда их сажать с умом, а где категорически нельзя