TECH: Microsoft findet Android-SDK-Schwachstelle – 30 Mio. Krypto-Wallet-Installationen potenziell von Datendiebstahl bedroht

Sicherheitsforscher von Microsoft haben im Push-Benachrichtigungs-SDK von EngageLab eine schwerwiegende Schwachstelle zur "Intent Redirection" entdeckt. Dadurch konnte eine beliebige App auf demselben Gerät die Android-Sandbox umgehen und auf private Daten zugreifen. Besonders betroffen waren Krypto-Wallet-Apps: Anwendungen, die das anfällige SDK nutzten, kamen laut Microsoft auf mehr als 30 Mio. Installationen; insgesamt lag die Zahl der Installationen betroffener Apps bei über 50 Mio. Die Lücke wurde in EngageLab SDK Version 4.5.4 identifiziert. In den betroffenen Wallet-Apps konnten personenbezogene Daten (PII), Zugangsdaten und Finanzinformationen prinzipiell von jeder bösartigen, lokal installierten App ausgelesen und entwendet werden. Alle erkannten Apps, die verwundbare Versionen einsetzten, wurden aus dem Google Play Store entfernt. Microsoft meldete den Vorfall im April 2025 an EngageLab. Behoben wurde die Schwachstelle nach Angaben von Microsoft mit SDK Version 5.2.1, Stand November 2025. Die Veröffentlichung erfolgt vor dem Hintergrund einer weiteren aktuellen Schwachstelle: Im Vormonat hatte das Donjon-Team von Ledger eine MediaTek-Boot-Chain-Lücke (CVE202620435) offengelegt. Demnach konnten Angreifer mit physischem USB-Zugriff bei 25% der Android-Smartphones innerhalb von 45 Sekunden Seed-Phrases von Wallets extrahieren. Beide Befunde stützen die Warnungen von Befürwortern von Hardware-Wallets vor der Aufbewahrung von Krypto-Vermögen auf Mobilgeräten.