Una vulnerabilidad grave en un popular kit de desarrollo de software (SDK) de Android de terceros dejó a decenas de millones de monederos de criptomonedas vulnerables al robo de datos, según un informe recién publicado por el Equipo de Investigación de Seguridad de Microsoft Defender.
La falla ha permitido a aplicaciones maliciosas eludir el entorno aislado de seguridad principal de Android.
La vulnerabilidad ha afectado a una amplia gama de aplicaciones. El ecosistema de las criptomonedas y los monederos digitales fue el más afectado debido a la naturaleza de alto valor de los datos almacenados.
Microsoft identificó más de 30 millones de instalaciones de aplicaciones de monederos de criptomonedas de terceros afectadas. La exposición total superó los 50 millones de instalaciones.
Si se hubiera explotado, la vulnerabilidad podría haber expuesto Información de Identificación Personal (PII), credenciales de usuario privadas y datos financieros sensibles almacenados en las profundidades de los directorios privados de la aplicación afectada.
Afortunadamente, Microsoft señaló que actualmente no hay evidencia que sugiera que esta vulnerabilidad haya sido explotada activamente por actores de amenazas en el mundo real.
El SDK de EngageLab es una herramienta utilizada por los desarrolladores para gestionar notificaciones push y mensajes en la aplicación en tiempo real. La falla de seguridad se rastreó hasta un componente específico (MTCommonActivity) que se añadía automáticamente al código en segundo plano de una aplicación después del proceso de compilación.
Debido a que este componente se exportó ampliamente, se volvió accesible para otras aplicaciones instaladas en el mismo dispositivo Android.
Una aplicación maliciosa instalada en el mismo dispositivo podría crear un mensaje manipulado (una "intención") y enviarlo a la aplicación de monedero de criptomonedas vulnerable.
La aplicación del monedero procesaría esta intención utilizando su propia identidad y permisos de confianza.
Esto engañó al monedero para que concediera a la aplicación maliciosa acceso persistente de lectura y escritura a sus directorios de datos privados.
Se tomaron medidas rápidas en todo el ecosistema de Android para mitigar la amenaza.
