Команда Microsoft Defender Security Research Team опубликовала отчёт об обнаруженной и уже устранённой уязвимости в стороннем Android-SDK под названием EngageLab. Масштаб проблемы оказался впечатляющим: под угрозой находились более 50 миллионов установок приложений, из которых свыше 30 миллионов приходилось на криптовалютные кошельки и приложения для управления цифровыми активами.
EngageLab SDK — это инструмент для отправки push-уведомлений в Android-приложениях. Разработчики используют его, чтобы рассылать пользователям персонализированные уведомления на основе их поведения. Казалось бы, рутинный сервис. Но именно в нём, а точнее в версии 4.5.4, и скрывалась брешь, которая позволяла обходить одну из фундаментальных защит Android — так называемую песочницу безопасности.
Специалисты Microsoft классифицировали уязвимость как «intent redirection vulnerability». Чтобы понять суть, нужно знать, как устроено межкомпонентное взаимодействие на Android. Intent — это объект-сообщение, через который компоненты приложений запрашивают друг у друга выполнение действий. Перенаправление intent происходит, когда содержимое такого сообщения, отправленного уязвимым приложением, удаётся подменить. Атакующий фактически использует доверенный контекст и разрешения жертвы в своих целях.
Практический сценарий атаки выглядел так: злоумышленнику нужно было заранее установить на устройство жертвы вредоносное приложение — любым способом, хоть через фишинговую ссылку. Это приложение затем эксплуатировало уязвимость SDK, чтобы добраться до внутренних директорий целевого приложения. То есть до данных, которые песочница Android должна была надёжно изолировать от посторонних.
Что конкретно мог получить атакующий? Доступ к защищённым компонентам приложения, конфиденциальным данным пользователя, а в ряде случаев — эскалацию привилегий. Для криптокошельков, где хранятся приватные ключи и seed-фразы, последствия могли бы быть катастрофическими. Потеря такой информации напрямую означает потерю денег.
Есть и хорошие новости. Microsoft не обнаружила ни одного подтверждённого случая эксплуатации этой уязвимости «в дикой природе». Нулевое количество зафиксированных атак — это, конечно, облегчение, но оно не отменяет серьёзности самой бреши. Пропатченная версия SDK (2.1) была выпущена в ноябре 2025 года, а все приложения, содержавшие уязвимые версии, удалены из Google Play Store.
Microsoft намеренно не стала раскрывать названия конкретных приложений. Это стандартная практика ответственного раскрытия уязвимостей, хотя для пользователей остаётся неприятная неопределённость. Разработчикам, интегрировавшим EngageLab SDK, настоятельно рекомендовано немедленно обновиться до последней версии.
Собственно, самое тревожное в этой истории — не техническая деталь про intent redirection. Тревожно то, насколько непрозрачны цепочки зависимостей в мобильной разработке. Разработчик приложения для криптокошелька мог даже не подозревать, что SDK для отправки пуш-уведомлений создаёт дыру, через которую утекают приватные ключи его пользователей. Microsoft в своём отчёте прямо указала на «масштабные и зачастую непрозрачные» зависимости, создаваемые сторонними SDK, и на связанные с ними риски для цепочки поставок программного обеспечения.
Риски усиливаются кратно, когда интеграции задействуют экспортируемые компоненты или полагаются на непроверенные допущения о доверии между границами разных приложений. А в секторах с высокой стоимостью активов — таких как управление криптовалютой — каждая подобная ошибка может обойтись пользователям в реальные деньги. Тридцать миллионов установок криптокошельков с потенциально скомпрометированной изоляцией данных — это цифра, которая заставляет задуматься о том, насколько тщательно аудируются зависимости в мобильных приложениях, которым мы доверяем свои финансы.
Изображение носит иллюстративный характер
EngageLab SDK — это инструмент для отправки push-уведомлений в Android-приложениях. Разработчики используют его, чтобы рассылать пользователям персонализированные уведомления на основе их поведения. Казалось бы, рутинный сервис. Но именно в нём, а точнее в версии 4.5.4, и скрывалась брешь, которая позволяла обходить одну из фундаментальных защит Android — так называемую песочницу безопасности.
Специалисты Microsoft классифицировали уязвимость как «intent redirection vulnerability». Чтобы понять суть, нужно знать, как устроено межкомпонентное взаимодействие на Android. Intent — это объект-сообщение, через который компоненты приложений запрашивают друг у друга выполнение действий. Перенаправление intent происходит, когда содержимое такого сообщения, отправленного уязвимым приложением, удаётся подменить. Атакующий фактически использует доверенный контекст и разрешения жертвы в своих целях.
Практический сценарий атаки выглядел так: злоумышленнику нужно было заранее установить на устройство жертвы вредоносное приложение — любым способом, хоть через фишинговую ссылку. Это приложение затем эксплуатировало уязвимость SDK, чтобы добраться до внутренних директорий целевого приложения. То есть до данных, которые песочница Android должна была надёжно изолировать от посторонних.
Что конкретно мог получить атакующий? Доступ к защищённым компонентам приложения, конфиденциальным данным пользователя, а в ряде случаев — эскалацию привилегий. Для криптокошельков, где хранятся приватные ключи и seed-фразы, последствия могли бы быть катастрофическими. Потеря такой информации напрямую означает потерю денег.
Есть и хорошие новости. Microsoft не обнаружила ни одного подтверждённого случая эксплуатации этой уязвимости «в дикой природе». Нулевое количество зафиксированных атак — это, конечно, облегчение, но оно не отменяет серьёзности самой бреши. Пропатченная версия SDK (2.1) была выпущена в ноябре 2025 года, а все приложения, содержавшие уязвимые версии, удалены из Google Play Store.
Microsoft намеренно не стала раскрывать названия конкретных приложений. Это стандартная практика ответственного раскрытия уязвимостей, хотя для пользователей остаётся неприятная неопределённость. Разработчикам, интегрировавшим EngageLab SDK, настоятельно рекомендовано немедленно обновиться до последней версии.
Собственно, самое тревожное в этой истории — не техническая деталь про intent redirection. Тревожно то, насколько непрозрачны цепочки зависимостей в мобильной разработке. Разработчик приложения для криптокошелька мог даже не подозревать, что SDK для отправки пуш-уведомлений создаёт дыру, через которую утекают приватные ключи его пользователей. Microsoft в своём отчёте прямо указала на «масштабные и зачастую непрозрачные» зависимости, создаваемые сторонними SDK, и на связанные с ними риски для цепочки поставок программного обеспечения.
Риски усиливаются кратно, когда интеграции задействуют экспортируемые компоненты или полагаются на непроверенные допущения о доверии между границами разных приложений. А в секторах с высокой стоимостью активов — таких как управление криптовалютой — каждая подобная ошибка может обойтись пользователям в реальные деньги. Тридцать миллионов установок криптокошельков с потенциально скомпрометированной изоляцией данных — это цифра, которая заставляет задуматься о том, насколько тщательно аудируются зависимости в мобильных приложениях, которым мы доверяем свои финансы.
