Een ernstige kwetsbaarheid in een populaire Android software development kit (SDK) van derden heeft tientallen miljoenen cryptocurrency-wallets kwetsbaar gemaakt voor gegevensdiefstal, volgens een recent gepubliceerd rapport van het Microsoft Defender Security Research Team.
Het lek heeft kwaadaardige applicaties in staat gesteld om Android's kernbeveiligingssandbox te omzeilen.
De kwetsbaarheid heeft een breed scala aan applicaties getroffen. Het ecosysteem van cryptocurrencies en digitale wallets kreeg de grootste klap door de hoge waarde van de opgeslagen gegevens.
Microsoft identificeerde meer dan 30 miljoen installaties van getroffen crypto-wallet applicaties van derden. De totale blootstelling overschreed 50 miljoen installaties.
Indien misbruikt, had de kwetsbaarheid Persoonlijk Identificeerbare Informatie (PII), privé-gebruikersgegevens en gevoelige financiële gegevens kunnen blootleggen die diep in de privé-mappen van de getroffen app waren opgeslagen.
Gelukkig merkte Microsoft op dat er momenteel geen bewijs is dat deze kwetsbaarheid ooit actief is uitgebuit door kwaadwillenden.
De EngageLab SDK is een tool die door ontwikkelaars wordt gebruikt voor het beheren van pushmeldingen en real-time in-app berichten. Het beveiligingslek werd herleid tot een specifieke component (MTCommonActivity) die automatisch aan de achtergrondcode van een applicatie werd toegevoegd na het bouwproces.
Omdat deze component breed geëxporteerd was, werd deze toegankelijk voor andere applicaties die op hetzelfde Android-apparaat waren geïnstalleerd.
Een kwaadaardige app, geïnstalleerd op hetzelfde apparaat, kon een gemanipuleerd bericht (een "intent") maken en dit naar de kwetsbare crypto-wallet app sturen.
De wallet-app zou deze intent verwerken met behulp van zijn eigen vertrouwde identiteit en machtigingen.
Dit misleidde de wallet ertoe om de kwaadaardige app persistente lees- en schrijftoegang te verlenen tot zijn privé-gegevensmappen.
Er werden snelle maatregelen genomen binnen het Android-ecosysteem om de dreiging te beperken.
