Исследователи из Microsoft Defender обнаружили критическую уязвимость в популярном Android Software Development Kit (SDK) от EngageLab, которая ставит под угрозу данные десятков миллионов пользователей криптовалютных кошельков. Уязвимость, о которой было сообщено 15 марта 2025 года, позволяет вредоносным приложениям, установленным на том же устройстве, получать несанкционированный доступ к конфиденциальной информации, хранящейся в среде приложения-жертвы.
Техническая суть уязвимости заключается в экспортированной активности MTCommonActivity, которая присутствовала в SDK версии 4.5.4 и ниже. Эта активность, автоматически добавляемая в финальный манифест приложения (merged manifest) в процессе сборки, могла принимать интенты от других приложений. Используя флаг URI_ALLOW_UNSAFE при обработке URI, она позволяла злоумышленнику получить постоянный доступ на чтение и запись к приватному хранилищу приложения, включая файлы кошелька. Для эксплуатации не требовалось никаких действий со стороны пользователя.
По данным Microsoft, уязвимый SDK интегрирован в приложения, общее количество установок которых только в категории криптокошельков превышает 30 миллионов. С учётом всех категорий приложений общее число установок могло достигать 50 миллионов. EngageLab выпустила исправление в версии SDK 5.2.1, выпущенной 3 ноября 2025 года, где активность MTCommonActivity была помечена как неэкспортируемая. Google удалил из Play Store все обнаруженные приложения, содержащие уязвимую версию библиотеки.
Исследователи подчёркивают, что прямых краж средств с использованием этой уязвимости не зафиксировано. Однако под угрозой оказались личные данные (PII), учётные данные для входа, история транзакций и, что наиболее опасно, сид-фразы и приватные ключи, полный контроль над активами. Уязвимость не затрагивает саму блокчейн-сеть, а атакует данные на уровне локального приложения Android.
Эксперты рекомендуют разработчикам немедленно обновить SDK до версии 5.2.1 и провести аудит всех зависимостей. Пользователям следует срочно обновить все криптовалютные приложения через Google Play Store, избегать установки приложений из ненадёжных источников (sideloading) и рассмотреть возможность хранения значительных сумм в аппаратных кошельках (cold storage).
