TECH: Microsoft выявила уязвимость SDK для Android, из‑за которой 30 млн установок криптокошельков могли быть подвержены краже данных — @Microsoft

Специалисты по безопасности Microsoft обнаружили критическую уязвимость перенаправления intent в SDK push‑уведомлений EngageLab, которая позволяла любому приложению на том же устройстве обходить песочницу Android и получать доступ к приватным данным. По оценке Microsoft, на криптокошельки, использовавшие уязвимый SDK, приходилось более 30 млн установок; общее число установок затронутых приложений превышало 50 млн. Проблема затрагивала EngageLab SDK версии 4.5.4 и приводила к риску кражи персональных данных, учетных данных пользователей и финансовой информации из кошельков любым вредоносным приложением, установленным на устройстве. Все обнаруженные приложения, использовавшие уязвимые версии, удалены из Google Play. Microsoft сообщила о дефекте EngageLab в апреле 2025 года. Уязвимость была устранена в версии SDK 5.2.1 по состоянию на ноябрь 2025 года. Раскрытие информации совпало по времени с публикацией о прошл'омесячной уязвимости цепочки загрузки MediaTek (CVE202620435), выявленной командой Donjon от Ledger: по их данным, атакующий с физическим доступом по USB мог извлечь seed‑фразу кошелька за 45 секунд примерно с 25% Android‑смартфонов. Оба случая усиливают аргументы сторонников аппаратных кошельков о рисках хранения криптоактивов на мобильных устройствах.