SDK-lek geeft malafide apps toegang tot gevoelige data Android-cryptowallets

In dit artikel:

Microsoft ontdekte een kwetsbaarheid in de EngageSDK — een veelgebruikte software development kit voor Android‑cryptowallets — waardoor kwaadaardige apps ongeautoriseerd toegang konden krijgen tot gevoelige gegevens van de wallets. De fout zat in een door de SDK toegevoegde activity in het Android‑manifest die andere apps verregaande lees‑ en schrijfrechten op de private directory van de wallet gaf; normaal regelt het manifest juist dat zulke data afgeschermd blijft. Volgens Microsoft betroffen de kwetsbare wallets meer dan dertig miljoen gebruikers. EngageLab, de maker van de SDK, kreeg in april vorig jaar bericht en bracht in november een update uit; daarna zijn de kwetsbare wallet‑apps uit de Google Play Store verwijderd en zijn details openbaar gemaakt. Ontwikkelaars worden dringende geadviseerd de nieuwste SDK‑versie te integreren. Voor gebruikers van cryptowallets betekent dit dat je app‑updates en herkomst van apps kritisch moet blijven controleren, omdat blootgestelde private gegevens zoals sleutels en transactiegegevens groot risico vormen.