Kerentanan parah pada kit pengembangan perangkat lunak (SDK) Android pihak ketiga yang populer membuat puluhan juta dompet kripto rentan terhadap pencurian data, menurut laporan yang baru diterbitkan oleh Tim Peneliti Keamanan Microsoft Defender.
Celah tersebut memungkinkan aplikasi berbahaya untuk melewati sandbox keamanan inti Android.
Kerentanan ini telah memengaruhi berbagai macam aplikasi. Ekosistem mata uang kripto dan dompet digital menanggung beban terbesar dari paparan ini karena sifat data yang disimpan bernilai tinggi.
Microsoft mengidentifikasi lebih dari 30 juta instalasi aplikasi dompet kripto pihak ketiga yang terpengaruh. Total paparan melebihi 50 juta instalasi.
Jika dieksploitasi, kerentanan ini dapat mengekspos Informasi Identitas Pribadi (PII), kredensial pengguna pribadi, dan data keuangan sensitif yang tersimpan jauh di dalam direktori pribadi aplikasi yang terpengaruh.
Untungnya, Microsoft mencatat bahwa saat ini tidak ada bukti yang menunjukkan kerentanan ini pernah dieksploitasi secara aktif oleh pelaku ancaman di lapangan.
EngageLab SDK adalah alat yang digunakan oleh pengembang untuk mengelola notifikasi push dan pesan dalam aplikasi secara real-time. Celah keamanan ini ditelusuri ke komponen spesifik (MTCommonActivity) yang secara otomatis ditambahkan ke kode latar belakang aplikasi setelah proses build.
Karena komponen ini diekspor secara luas, komponen ini menjadi dapat diakses oleh aplikasi lain yang terinstal di perangkat Android yang sama.
Aplikasi berbahaya yang terinstal di perangkat yang sama dapat membuat pesan yang dimanipulasi (sebuah "intent") dan mengirimkannya ke aplikasi dompet kripto yang rentan.
Aplikasi dompet akan memproses intent ini menggunakan identitas dan izin terpercayanya sendiri.
Ini menipu dompet untuk memberikan aplikasi berbahaya akses baca dan tulis persisten ke direktori data pribadinya.
Tindakan cepat telah diambil di seluruh ekosistem Android untuk mengurangi ancaman tersebut.
