Eine schwerwiegende Sicherheitslücke in einem beliebten Android Software Development Kit (SDK) eines Drittanbieters machte laut einem neu veröffentlichten Bericht des Microsoft Defender Security Research Teams zig Millionen Kryptowährungs-Wallets anfällig für Datendiebstahl.
Die Schwachstelle hat bösartigen Anwendungen ermöglicht, die zentrale Sicherheits-Sandbox von Android zu umgehen.
Die Schwachstelle hat eine breite Palette von Anwendungen betroffen. Das Ökosystem der Kryptowährungen und digitalen Wallets trug aufgrund des hohen Werts der gespeicherten Daten die Hauptlast der Exposition.
Microsoft identifizierte über 30 Millionen Installationen betroffener Kryptowährungs-Wallet-Anwendungen von Drittanbietern. Die Gesamtbetroffenheit überstieg 50 Millionen Installationen.
Bei Ausnutzung hätte die Schwachstelle persönlich identifizierbare Informationen (PII), private Benutzerdaten und sensible Finanzdaten, die tief in den privaten Verzeichnissen der betroffenen App gespeichert sind, offenlegen können.
Glücklicherweise stellte Microsoft fest, dass derzeit keine Hinweise darauf vorliegen, dass diese Schwachstelle jemals aktiv von Bedrohungsakteuren ausgenutzt wurde.
Das EngageLab SDK ist ein Tool, das von Entwicklern verwendet wird, um Push-Benachrichtigungen und Echtzeit-In-App-Nachrichten zu verwalten. Die Sicherheitslücke wurde auf eine spezifische Komponente (MTCommonActivity) zurückgeführt, die nach dem Build-Prozess automatisch zum Hintergrundcode einer Anwendung hinzugefügt wurde.
Da diese Komponente umfassend exportiert wurde, wurde sie für andere Anwendungen zugänglich, die auf demselben Android-Gerät installiert sind.
Eine bösartige App, die auf demselben Gerät installiert ist, könnte eine manipulierte Nachricht (einen "Intent") erstellen und an die anfällige Krypto-Wallet-App senden.
Die Wallet-App würde diesen Intent unter Verwendung ihrer eigenen vertrauenswürdigen Identität und Berechtigungen verarbeiten.
Dies täuschte die Wallet und veranlasste sie, der bösartigen App dauerhaften Lese- und Schreibzugriff auf ihre privaten Datenverzeichnisse zu gewähren.
Es wurden schnelle Maßnahmen im gesamten Android-Ökosystem ergriffen, um die Bedrohung zu mindern.
