Uma vulnerabilidade séria em um SDK de terceiros para Android chamado EngageLab foi corrigida recentemente após investigação da equipe de segurança da Microsoft Defender.
O SDK, que oferece serviço de push notification para enviar notificações personalizadas com base no comportamento do usuário, é amplamente usado por apps, incluindo muitos do ecossistema de criptomoedas e carteiras digitais.
Segundo a análise, versões vulneráveis do SDK poderiam permitir que apps no mesmo dispositivo burlassem o sandbox de segurança do Android e acessassem dados privados sem autorização.
O problema foi identificado como uma vulnerabilidade de redirecionamento de intents, explorando a forma como mensagens (intents) são usadas para solicitar ações entre componentes de apps no Android.
Na prática, o redirecionamento de intents ocorre quando o conteúdo de uma intent enviada por um app vulnerável é manipulado para aproveitar o contexto confiável desse app, permitindo acesso indevido a componentes protegidos, exposição de dados sensíveis ou escalonamento de privilégios.
Um atacante poderia explorar a falha com um app malicioso instalado no dispositivo por outros meios para acessar diretórios internos de um app que integra o SDK, resultando em acesso não autorizado a informações sensíveis.
As estimativas apontam que os apps de carteira afetados somam mais de 30 milhões de instalações, e quando se incluem outros apps que usam o SDK vulnerável, o total ultrapassa 50 milhões de instalações.
A Microsoft não divulgou os nomes dos apps impactados, mas informou que os aplicativos detectados com versões vulneráveis do SDK foram removidos da Google Play Store.
Após divulgação responsável em abril de 2025, o EngageLab lançou a versão 5.2.1 para corrigir a vulnerabilidade que havia sido introduzida na versão 4.5.4.
Não há evidências conhecidas de que a falha tenha sido explorada de forma maliciosa em campo até o momento reportado.
As notificações sobre atualização recomendam que desenvolvedores que integram o SDK façam a atualização para a versão corrigida o quanto antes, já que falhas em bibliotecas upstream podem ter impactos em cascata em milhões de dispositivos.
Este caso evidencia como fraquezas em SDKs de terceiros podem gerar implicações de segurança em larga escala, especialmente em setores de alto valor como a gestão de ativos digitais.
Aplicativos cada vez mais dependem de SDKs externos, criando dependências de cadeia de suprimentos grandes e muitas vezes opacas.
Esses riscos aumentam quando integrações expõem componentes exportados ou dependem de pressupostos de confiança que não são validados entre os limites dos apps.