Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en un kit de incremento de software (SDK) de Android de terceros ampliamente utilizado llamado EngageLab SDK que podría deber puesto en aventura a millones de usuarios de billeteras de criptomonedas.
“Esta descompostura permite que las aplicaciones en el mismo dispositivo eviten la zona de pruebas de seguridad de Android y obtengan camino no calificado a datos privados”, dijo el equipo de investigación de seguridad de Microsoft Defender en un referencia publicado hoy.
EngageLab SDK ofrece un servicio de notificaciones push que, según su sitio web, está diseñado para entregar “notificaciones oportunas” basadas en el comportamiento del heredero ya rastreado por los desarrolladores. Una vez integrado en una aplicación, el SDK ofrece una forma de mandar notificaciones personalizadas e impulsar la interacción en tiempo positivo.
El coloso tecnológico dijo que una cantidad significativa de aplicaciones que utilizan el SDK son parte del ecosistema de criptomonedas y billeteras digitales, y que las aplicaciones de billetera afectadas representaron más de 30 millones de instalaciones. Cuando se incluyen aplicaciones que no son de billetera creadas con el mismo SDK, el recuento de instalaciones supera los 50 millones.
Microsoft no reveló los nombres de las aplicaciones, pero señaló que todas las aplicaciones detectadas que utilizan versiones vulnerables del SDK se eliminaron de Google Play Store. Tras la divulgación responsable en abril de 2025, EngageLab lanzó la interpretación 5.2.1 en noviembre de 2025 para chocar la vulnerabilidad.
El problema, identificado en la interpretación 4.5.4, se ha descrito como una vulnerabilidad de redirección de intención. Las intenciones en Android se refieren a objetos de correo que se utilizan para solicitar una bono de otro componente de la aplicación.
La redirección de intención ocurre cuando el contenido de una intención que envía una aplicación pusilánime se manipula aprovechando su contexto confiable (es opinar, permisos) para obtener camino no calificado a componentes protegidos, exponer datos confidenciales o prosperar privilegios en el interior del entorno de Android.
Un atacante podría exprimir esta vulnerabilidad mediante una aplicación maliciosa instalada en el dispositivo a través de algún otro medio para consentir a directorios internos asociados con una aplicación que tenga el SDK integrado, lo que resultaría en un camino no calificado a datos confidenciales.
No hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto astuto. Dicho esto, se recomienda a los desarrolladores que integran el SDK que actualicen a la última interpretación lo antaño posible, especialmente teniendo en cuenta que incluso las fallas triviales en las bibliotecas ascendentes pueden tener impactos en cascada y afectar a millones de dispositivos.
“Este caso muestra cómo las debilidades de los SDK de terceros pueden tener implicaciones de seguridad a gran escalera, especialmente en sectores de suspensión valencia como la dirección de activos digitales”, dijo Microsoft. “Las aplicaciones dependen cada vez más de SDK de terceros, lo que crea dependencias grandes y a menudo opacas en la condena de suministro. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o se basan en suposiciones de confianza que no se validan a través de los límites de las aplicaciones”.
