Небезпечна вразливість у Android-додатках загрожує даним 50 мільйонів користувачів
Експерти Microsoft виявили серйозну вразливість у популярному наборі інструментів для розробників, що поставила під загрозу дані десятків мільйонів користувачів Android, повідомляє TechSpot. Йдеться про проблему в EngageLab SDK, що широко використовується для реалізації push-сповіщень і внутрішніх повідомлень у додатках.
За оцінками дослідників, вразливі додатки було встановлено на 50 мільйонах пристроїв, з них 30 мільйонів завантажень припадають на криптовалютні сервіси.
Вразливість, відома як “intent redirection vulnerability”, дозволяла шкідливим додаткам обходити механізми захисту Android. Зловмисники могли отримати несанкціонований доступ до конфіденційних даних на пристрої, таких як облікові записи та фінансова інформація.
Виявлено помилку в квітні 2025 року у версії SDK 4.5.4, а виправлення було випущено в листопаді того ж року у версії 5.2.1. Всі додатки з уразливим компонентом видалено з Google Play Store.
Microsoft зазначила, що не знайшли доказів використання цієї вразливості в реальних атаках. Розробникам рекомендують якомога швидше оновити SDK для уникнення потенційних ризиків.
Експерти звертають увагу на проблему залежності від сторонніх компонентів. Використання зовнішніх SDK пришвидшує розробку, але створює додаткові ризики, особливо у сферах цифрових активів і фінансових сервісів.
Нагадаємо: раніше повідомлялося, що мільйони iPhone опинилися під загрозою від хакерів.
