Фахівці Microsoft виявили небезпечну вразливість у популярному SDK для Android, яка загрожує даними понад 50 мільйонів користувачів.
Як повідомляє TechSpot, проблема стосується EngageLab SDK, що використовується для реалізації push-сповіщень у додатках. За оцінками, вразливі програми встановлені на близько 50 мільйонах пристроїв, з яких понад 30 мільйонів — криптовалютні сервіси.
Вразливість, відома як “intent redirection vulnerability”, дозволяла зловмисникам обходити захисні механізми Android, отримуючи несанкціонований доступ до конфіденційних даних, включаючи фінансову інформацію. Механізм intent відповідає за взаємодію між додатками, але виявлена проблема дозволяла обійти обмеження доступу.
Вразливість була виявлена у квітні 2025 року в версії SDK 4.5.4, а виправлення з’явилося лише в листопаді того ж року в версії 5.2.1. Усі небезпечні додатки вже видалені з Google Play Store. Microsoft зазначила, що не виявила доказів використання вразливості до її виявлення, проте рекомендує розробникам терміново оновити SDK.
Експерти підкреслюють, що цей випадок демонструє ризики використання сторонніх компонентів, що, хоча і пришвидшує розробку, може загрожувати безпеці, особливо у фінансових сферах.
Нагадаємо, що нещодавно мільйони iPhone також опинилися під загрозою від хакерів, а українців попередили про розсилку шкідливого програмного забезпечення.
Редактор: Кароліна Колесник
