HackerNews 编译，转载请注明出处：

广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。

微软Defender安全研究团队今日发布的报告中表示：“该缺陷允许同一设备上的应用绕过安卓安全沙箱，获取私有数据的未授权访问。”

EngageLab SDK提供推送通知服务，据其网站介绍，旨在基于开发者已追踪的用户行为发送”及时通知”。集成至应用后，该SDK可发送个性化通知并驱动实时互动。

这家科技巨头称，大量使用该SDK的应用属于加密货币和数字钱包生态系统，受影响钱包应用安装量超过3000万。若计入基于同一SDK构建的非钱包应用，安装量突破5000万。

微软未透露应用名称，但指出所有检测到使用漏洞版本SDK的应用已从Google Play商店移除。经2025年4月负责任披露后，EngageLab于2025年11月发布5.2.1版本修复该漏洞。

该问题在4.5.4版本中被识别，被描述为意图重定向漏洞。安卓中的意图指用于向另一应用组件请求操作的消息对象。

意图重定向发生在脆弱应用发送的意图内容被利用其可信上下文（即权限）操纵时，以获取受保护组件的未授权访问、暴露敏感数据或在安卓环境内提升权限。

攻击者可通过设备上通过其他方式安装的恶意应用利用该漏洞，访问集成SDK应用关联的内部目录，导致敏感数据的未授权访问。

尚无证据表明该漏洞曾被恶意利用。尽管如此，建议集成该SDK的开发者尽快更新至最新版本，尤其考虑到上游库中即使是微小缺陷也可能产生连锁影响，波及数百万设备。

微软表示：”此案例显示第三方SDK中的弱点可能产生大规模安全影响，尤其在数字资产管理等高价值领域。应用日益依赖第三方SDK，形成庞大且往往不透明的供应链依赖。当集成暴露导出组件或依赖跨应用边界未验证的信任假设时，这些风险会增加。”

---

消息来源：thehackernews.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文