A Microsoft 2025. áprilisában azonosított egy Android-alapú biztonsági hibát, amely mintegy 30 millió kriptotárca hitelesítő adatait tehette elérhetővé kiberbűnözők számára. A vállalat szerint a sebezhetőség egy széles körben használt EngageLab szoftverfejlesztői készletet érintett.
A Microsoft Defender Security Research Team rutin biztonsági vizsgálat során fedezte fel a problémát. A jelentés szerint a sérülékenység lehetővé tette rosszindulatú alkalmazások számára, hogy megkerüljék az Android sandbox védelmi mechanizmusát, és hozzáférjenek más alkalmazások érzékeny adataihoz.
A hiba az EngageLab SDK 4.5.4-es verziójához kapcsolódott. Az SDK-k alapvető elemei a mobilalkalmazások működésének, és sok alkalmazás több ilyen komponenst is használ. A támadók rosszindulatú alkalmazások telepítésére vették rá a felhasználókat, amelyek üzeneteket küldtek a sérülékeny SDK-nak. Ezután a többi alkalmazás jogosultságait manipulálva a támadók olvasási és írási hozzáférést szerezhettek személyes adatokhoz, köztük kriptotárcák seed phrase-eihez és címadataihoz.
A támadási módszert „intent redirection” néven azonosították. A Microsoft szerint a sebezhetőség több mint 50 millió alkalmazást érintett, köztük körülbelül 30 millió kriptotárcát.
Javítás és felhasználói intézkedések
A Microsoft 2025 májusában együttműködésbe kezdett a Google és az Android Security Team szakembereivel. Ennek eredményeként az EngageLab kiadta az SDK 5.2.1-es, javított verzióját.
A Microsoft azt javasolja, hogy a felhasználók frissítsék alkalmazásaikat, és ellenőrizzék eszközeiket a Google Play Protect segítségével. A vállalat emellett azt is ajánlja, hogy a felhasználók kizárólag a Google Play Áruházból töltsenek le alkalmazásokat, mivel az APK-fájlok külső forrásból történő telepítése nagyobb biztonsági kockázatot jelent.
Azoknak a felhasználóknak, akik 2025 közepe óta nem frissítették alkalmazásaikat, a Microsoft azt javasolja, hogy helyezzék át a kriptovaluta-állományaikat új tárcákba, új seed phrase-ek használatával.
A jelentés egy másik, Android-chipeket érintő közelmúltbeli biztonsági problémát is említ. Ugyanakkor a kiberbiztonság erősítésére irányuló együttműködések is bővülnek, miután az Egyesült Államok Pénzügyminisztériuma és kriptovaluta-vállalatok közös információmegosztási kezdeményezést jelentettek be.
A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!
A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.
