深刻な脆弱性がサードパーティ製のAndroid Software Development Kit (SDK) に発見されました。このSDKは複数の暗号通貨ウォレットアプリで使用されています。この発見はMicrosoft Defender Security Research Teamによって明らかにされました。

公式レポートによると、この脆弱性は3000万以上の暗号通貨ウォレットアプリのインストールに影響を与え、総被害範囲は5000万以上のアプリインストールに及びます。デジタルウォレットのエコシステムは、資産やユーザーデータを保存しているため、最もリスクが高いとされています。

この脆弱性を悪用すると、個人識別情報 (PII)、ユーザーの資格情報、さらにはアプリのプライベートディレクトリに保存された機密の金融データにアクセスできる可能性があります。

この問題は、EngageLab SDKのコンポーネントであるMTCommonActivityに起因しています。このコンポーネントはアプリのビルド時に自動的に追加されます。なぜなら、そのコンポーネントは同じデバイス上の他のアプリからアクセス可能なため、セキュリティホールが生じているのです。

結果として、悪意のあるアプリは偽の (intent) コマンドを送信し、ウォレットアプリに信頼された権限で処理させることが可能になります。ただし、Microsoftはこの脆弱性が既に積極的に悪用されている証拠は現時点ではないと述べています。