微软Defender安全研究团队报告显示,这个漏洞藏在EngageLab SDK 4.5.4版本里。开发者用它做推送通知,能根据用户行为发个性化消息。问题出在intent重定向上。Android的intent是app间通信工具。恶意app能利用漏洞篡改intent内容,绕过安全沙箱,直达钱包app的内部目录。攻击者装个恶意app,就能偷敏感数据。The Hacker News今天刊文,点明风险直指加密钱包用户。当前BTC报$72,084(24h +1.18%),市场正热,这类漏洞雪上加霜。
受影响app安装量超大。微软统计,加密数字钱包类app超3000万次安装。算上其他用这个SDK的app,总量破5000万。Google Play已下架所有带漏洞版本的app。开发者没公布具体名单,但强调这些钱包app在加密生态里占比重。链上钱包用户本就爱用安卓设备,现在暴露风险更高。ETH现报$2,217(24h +0.55%),钱包安全直接绑用户资产。漏洞让同设备其他app借权限偷数据,等于开门揖盗。
2025年4月负责披露后,EngageLab在11月推5.2.1版修补。至今没证据显示有人恶意用过。微软提醒,开发者赶紧升级,尤其上游库小毛病能波及百万设备。第三方SDK成供应链黑洞。app越依赖,风险越叠加。高价值领域如数字资产管理,信任边界一破就崩。钱包用户检查app更新,别等事发。行业得警醒,SDK审查不能马虎。