Microsoft avertizează asupra unei vulnerabilități de securitate care a expus datele a peste 50 de milioane de utilizatori Android - Flaw în EngageLab SDK permite accesul neautorizat la informații sensibile

O vulnerabilitate dintr-un SDK terț a pus în risc datele a circa 50 de milioane de utilizatori Android , după ce Microsoft a identificat o breșă care permitea ocolirea „sandbox”-ului (izolarea de securitate dintre aplicații), potrivit techradar.com . Miza pentru utilizatori și companii este una operațională: problema nu ține de o singură aplicație, ci de un component reutilizat pe scară largă, ceea ce amplifică riscul în lanțul de aprovizionare software (supply chain). Vulnerabilitatea a fost găsită în EngageLab SDK, un kit de dezvoltare folosit pentru funcții de „engagement” precum notificări push sau mesaje în aplicație. Cercetătorii Microsoft au descris-o drept o „vulnerabilitate de redirecționare a intent-urilor” (mesaje interne Android folosite pentru comunicarea între aplicații sau componente), care putea permite unei aplicații de pe același dispozitiv să acceseze neautorizat date private. De ce contează: efect de scară prin dependențe „invizibile” Potrivit Microsoft, aproximativ 50 de milioane de dispozitive Android rulau aplicații care includeau versiuni vulnerabile ale SDK-ului. Compania nu a numit aplicațiile afectate, dar a precizat că cel puțin 30 de milioane dintre instalări erau în zona aplicațiilor de criptomonede, ceea ce ridică miza prin natura datelor și a tranzacțiilor asociate. Microsoft a sintetizat riscul astfel: „Acest caz arată cum slăbiciunile din SDK-uri terțe pot avea implicații de securitate la scară largă, mai ales în sectoare cu valoare ridicată precum administrarea activelor digitale.” Cronologie și remediere Breșa a fost descoperită în aprilie 2025, în versiunea 4.5.4 a SDK-ului, și a fost remediată în noiembrie 2025, în versiunea 5.2.1. În plus, toate aplicațiile construite cu SDK-ul vulnerabil au fost eliminate din Google Play Store, conform informațiilor din articol. Microsoft a mai spus că nu a găsit dovezi că vulnerabilitatea ar fi fost exploatată anterior ca „zero-day” (adică înainte de a exista un patch), însă recomandarea pentru dezvoltatori rămâne actualizarea rapidă la cea mai nouă versiune a SDK-ului. Ce urmează pentru utilizatori și dezvoltatori Pentru utilizatori, articolul nu indică pași concreți de verificare a aplicațiilor afectate (Microsoft nu a publicat o listă), ceea ce limitează capacitatea de evaluare individuală a riscului. Pentru dezvoltatori, mesajul este direct: actualizarea EngageLab SDK la o versiune reparată și reevaluarea integrărilor terțe care expun componente „exportate” sau se bazează pe presupuneri de încredere nevalidate între aplicații. [...]