In einem weit verbreiteten Drittanbieter-Framework fuer Android, dem EngageLab SDK fuer Push-Benachrichtigungen und App-Analytik, ist eine schwerwiegende Android-Sicherheitsluecke entdeckt worden. Forschende des Microsoft Defender Security Research Teams zeigen, dass Angreifer damit Schutzmechanismen des Betriebssystems umgehen und auf vertrauliche Nutzerdaten zugreifen konnten – einschliesslich Daten von Kryptowallets und digitalen Finanzanwendungen. Die Schwachstelle wurde inzwischen behoben, verdeutlicht aber eindrucksvoll die Risiken von Third-Party-SDKs in der mobilen Software-Supply-Chain.
Ausmass der Sicherheitsluecke: Mehr als 50 Millionen Android-Installationen betroffen
Das EngageLab SDK wird von Entwicklern eingesetzt, um „personalisierte und zeitnahe Benachrichtigungen“ auf Basis von Nutzungsverhalten bereitzustellen. Aufgrund der einfachen Integration findet es sich in einer grossen Bandbreite von Android-Apps, darunter zahlreiche Kryptowallets und digitale Finanzanwendungen.
Laut Microsoft wurden allein betroffene Wallet- und Finanz-Apps insgesamt ueber 30 Millionen Mal installiert. Einschliesslich weiterer, nicht-finanzieller Anwendungen, die eine verwundbare Version des SDK nutzten, steigt die Zahl der Installationen auf mehr als 50 Millionen. Namen einzelner Apps wurden nicht veroeffentlicht. Google hat nach Angaben der Forschenden betroffene Anwendungen im Play Store entweder entfernt oder sie wurden von den Anbietern aktualisiert.
Die Schwachstelle wurde im Rahmen eines verantwortungsvollen Offenlegungsprozesses im April 2025 an EngageLab gemeldet. Das Unternehmen veroeffentlichte einen Fix mit EngageLab SDK Version 5.2.1 im November 2025. Betroffen war eine Code-Linie beginnend mit Version 4.5.4. Bislang liegen keine oeffentlich bekannten Faelle einer aktiven Ausnutzung vor, dennoch ist das technische Potenzial der Luecke erheblich.
Technische Analyse: Intent-Redirection und Umgehung der Android-Sandbox
Android-Intents und Sandbox kurz erklaert
Android setzt auf das Konzept der sogenannten Intents. Dabei handelt es sich um Nachrichtenobjekte, mit denen Komponenten innerhalb einer App oder zwischen verschiedenen Apps Aktionen anfordern – etwa das Oeffnen einer Aktivitaet, das Starten eines Services oder das Empfangen einer Push-Benachrichtigung.
Parallel schuetzt die Android-Sandbox die Privatsphaere der Nutzer: Jede App laeuft in einem eigenen isolierten Kontext mit separatem Benutzerkonto und Dateibereich. Ohne ausdrueckliche Berechtigungen darf eine Anwendung nicht auf Daten oder Komponenten anderer Apps zugreifen. Dieses Prinzip soll verhindern, dass ein kompromittiertes oder schaedliches Programm sensible Informationen aus anderen Anwendungen ausliest.
Missbrauch durch Intent-Redirection im EngageLab SDK
Die im EngageLab SDK entdeckte Schwachstelle gehoert zur Klasse der Intent-Redirection-Angriffe. Dabei wird ein eigentlich legitimer Intent eines vertrauenswuerdigen, berechtigten Programms von einem Angreifer umgelenkt oder manipuliert. Wenn die Ziel-App oder das SDK eingehende Intents nicht streng validiert, kann eine schaedliche App diese Schwachstelle als „Hebel“ nutzen.
Im konkreten Fall reichte es aus, dass das Opfer zusaetzlich zu einer betroffenen App ein separates schaedliches Programm installierte. Dieses konnte das verwundbare EngageLab-Integrationsmodul als Proxy missbrauchen, um Aktionen auszufuehren, fuer die die Malware selbst keine Berechtigungen besitzt – beispielsweise den Zugriff auf exportierte Komponenten oder auf interne Verzeichnisse der betroffenen Anwendung. Dadurch war unautorisierter Zugriff auf sensible Dateien, Logdaten und potenziell schluesselrelevante Informationen von Kryptowallets moeglich, ohne Root-Rechte oder komplexe Exploits.
Third-Party-SDKs als Sicherheitsrisiko fuer Kryptowallets und Mobile-Apps
Moderne Fintech- und Kryptowallet-Apps bestehen laengst nicht mehr nur aus eigenem Quellcode. Fuer Analytik, Monetarisierung, Push-Benachrichtigungen oder A/B-Tests werden zahlreiche Drittanbieter-SDKs eingebunden. Diese Komponenten sind Teil der Software-Supply-Chain und damit auch Teil der Angriffsoberflaeche.
In der Praxis werden solche Bibliotheken oft als Blackbox betrachtet. Sicherheitspruefungen konzentrieren sich haeufig auf die Hauptfunktion der App, waehrend integrierte Frameworks nur oberflaechlich bewertet werden. Ein einzelner Implementierungsfehler in einem populären SDK kann sich jedoch innerhalb kurzer Zeit auf Millionen von Endgeraeten auswirken – wie das Beispiel EngageLab zeigt.
Aus Sicherheitssicht besonders kritisch ist, dass Wallets und Banking-Apps ein hohes Angriffspotenzial besitzen: Ein erfolgreicher Exploit kann direkte finanzielle Schaeden verursachen. Aehnliche Supply-Chain-Vorfaelle in anderen Oekosystemen – etwa manipulierte Entwickler-Tools oder kompromittierte Open-Source-Bibliotheken – unterstreichen, dass Angreifer gezielt auf Zulieferkomponenten zielen, um mit einem Angriff viele Ziele gleichzeitig zu erreichen.
Empfehlungen fuer Android-Entwickler und Nutzer
Entwickler, die EngageLab SDK einsetzen, sollten unverzueglich auf Version 5.2.1 oder neuer aktualisieren. Zusaetzlich empfiehlt sich eine gründliche Inventarisierung aller eingebetteten SDKs: Welche Versionen sind in Produktion, welche Komponenten sind als „exportiert“ freigegeben und wie werden eingehende Intents validiert?
Aus professioneller Sicht sind folgende Massnahmen sinnvoll: Begrenzung der Anzahl externer Bibliotheken auf das notwendige Minimum, konsequentes Dependency-Management mit Monitoring von Security Advisories, automatisierte Schwachstellenscans fuer Abhaengigkeiten sowie statischer Code-Analyse speziell an Integrationspunkten. Security-Reviews sollten explizit Third-Party-SDKs einschliessen und Annahmen zu Vertrauen und Berechtigungen zwischen Apps dokumentieren.
Android-Nutzer – insbesondere Personen, die groessere Kryptobestaende oder sensible Finanzdaten auf dem Smartphone verwalten – sollten Apps ausschliesslich aus offiziellen Stores installieren, automatische Updates aktivieren und Berechtigungsanfragen kritisch pruefen. Wo moeglich, erhoehen Hardware-Wallets oder dedizierte Offline-Loesungen die Sicherheit zusaetzlich, da sie den Angriffsradius verwundbarer Mobile-Apps begrenzen.
Die Schwachstelle im EngageLab SDK fuehrt vor Augen, dass selbst scheinbar nebensächliche Komponenten wie ein Framework fuer Push-Benachrichtigungen zum kritischen Sicherheitsbaustein werden koennen. Je hoeher der Wert der verarbeiteten Daten, desto strenger muessen Auswahl, Ueberwachung und Aktualisierung externer SDKs erfolgen. Entwicklungsteams sollten ihre Prozesse zur Steuerung von Abhaengigkeiten ueberdenken und Security-by-Design auch auf Drittanbieter-Module ausweiten. Nutzer wiederum koennen durch konsequente Updates, bewusste App-Auswahl und grundlegende digitale Hygiene einen wichtigen Beitrag dazu leisten, dass aehnliche Supply-Chain-Risiken fruehzeitig entschärft werden.
