В широко используемом стороннем Android-наборе для разработчиков EngageLab SDK, обеспечивающем push-уведомления и аналитику, была обнаружена серьезная уязвимость, уже получившая исправление. По данным Microsoft Defender Security Research Team, ошибка могла позволить злоумышленникам обходить защиту Android и получать несанкционированный доступ к конфиденциальным данным пользователей, включая владельцев криптовалютных кошельков.
Масштаб проблемы: десятки миллионов установок Android-приложений
EngageLab SDK позиционируется как платформа для доставки «персонализированных и своевременных уведомлений» на основе поведенческих данных пользователя. Благодаря удобству интеграции этот SDK активно используется в широком спектре Android-приложений, в том числе в сегменте цифровых и криптовалютных кошельков.
По оценке Microsoft, затронутые криптовалютные и цифровые кошельки суммарно были установлены более чем 30 млн раз. Если учесть и не финансовые приложения, также использующие уязвимую версию EngageLab SDK, общее количество установок превышает 50 млн. Названия конкретных приложений не раскрываются, однако все выявленные программы с уязвимым SDK были удалены из Google Play или обновлены.
Специалисты Microsoft уведомили EngageLab об уязвимости в рамках ответственного раскрытия в апреле 2025 года. Разработчик выпустил исправление в версии EngageLab SDK 5.2.1 в ноябре 2025 года. Ошибка была идентифицирована в ветке, начинающейся с версии 4.5.4.
Как работала атака: обход Android sandbox через intent redirection
Что такое intents и sandbox в Android
Android использует механизм intent — это специальные объект-сообщения, с помощью которых компоненты приложений (активности, сервисы, приёмники уведомлений) запрашивают выполнение действий друг у друга. Одновременно в системе действует модель изоляции приложений — Android sandbox. Каждое приложение работает в собственном защищённом пространстве, что ограничивает доступ к данным других приложений без явных разрешений.
Идея sandbox проста: даже если на устройстве присутствует вредоносное приложение, оно не должно получать доступ к внутренним файлам и компонентам других программ без согласия пользователя и соответствующих прав.
Intent redirection: использование доверенного приложения против самого пользователя
Обнаруженная уязвимость в EngageLab SDK относится к классу intent redirection. В такой ситуации уязвимое приложение, обладающее более широкими правами и работающая в «доверенном» контексте, непреднамеренно позволяет злоумышленнику перенаправить или модифицировать отправляемый им intent.
Если обработка intent реализована небезопасно, атакующий может заставить приложение с интегрированным SDK выполнить действие, на которое само вредоносное приложение прав не имеет: получить доступ к экспортированным компонентам, обойти проверки разрешений или прочитать данные из внутренних директорий.
В рассматриваемом случае злоумышленнику было достаточно установить на устройство жертвы отдельное вредоносное приложение и использовать уязвимое приложение с EngageLab SDK как «прокси». Это могло привести к несанкционированному доступу к чувствительным данным, хранящимся в директориях приложений, использующих SDK, включая потенциально важные для криптовалютных кошельков файлы и журналы.
Microsoft отмечает, что на момент публикации нет подтверждённых случаев эксплуатации этой уязвимости в реальных атаках. Тем не менее сам характер ошибки и масштаб распространения SDK делают инцидент показательным примером риска для экосистемы Android.
Опасность сторонних SDK для криптовалютных кошельков и мобильной экосистемы
Современные мобильные приложения, особенно в сфере финтеха и управления цифровыми активами, практически всегда опираются на множество сторонних SDK: для аналитики, монетизации, уведомлений, A/B‑тестов. Эти компоненты становятся частью цепочки поставок программного обеспечения (software supply chain).
Проблема в том, что такие зависимости часто остаются «чёрным ящиком» даже для самих разработчиков приложений. Один дефект в популярной библиотеке может мгновенно масштабироваться на миллионы устройств. В случае EngageLab SDK потенциально уязвимыми оказались как приложения с высокой стоимостью атаки (криптокошельки), так и массовые потребительские сервисы.
Как подчёркивает Microsoft, слабое звено в стороннем SDK способно иметь крупномасштабные последствия, особенно в высокоценных сегментах вроде цифрового управления активами. Риски возрастают, когда интеграции полагаются на недокументированные допущения доверия между приложениями или используют экспортированные компоненты без строгой валидации запросов по границам приложений.
Рекомендации для разработчиков и пользователей Android
Разработчикам, уже использующим EngageLab SDK, настоятельно рекомендуется как можно скорее обновиться до версии 5.2.1 или новее, а также провести инвентаризацию: какие версии SDK используются в продакшене, какие компоненты экспортируются и как обрабатываются входящие intents.
Полезной практикой станет регулярный аудит сторонних библиотек, ограничение числа SDK до действительно необходимых, а также внедрение процессов управления зависимостями: мониторинг бюллетеней безопасности, автоматизированные проверки на известные уязвимости и статический анализ кода интеграции.
Пользователям Android, особенно тем, кто хранит значительные объёмы криптовалют и других цифровых активов, стоит уделять внимание обновлению приложений, избегать установки программ из непроверенных источников и внимательно относиться к запрашиваемым разрешениям. Использование официальных магазинов, включение автоматических обновлений и базовые меры цифровой гигиены остаются эффективной первой линией защиты.
История с EngageLab SDK наглядно показывает: даже незаметная пользователю библиотека для push-уведомлений может стать критическим элементом безопасности целого класса приложений. Чем выше ценность данных — тем более строгими должны быть требования к выбору и контролю сторонних SDK. Разработчикам стоит пересмотреть свои процессы управления зависимостями, а пользователям — не откладывать обновление мобильных приложений, особенно тех, что связаны с финансами и криптовалютами.
