Výzkumníci v oblasti kybernetické bezpečnosti odhalili závažnou bezpečnostní zranitelnost v sadě SDK společnosti EngageLab, která ohrozila přibližně 50 milionů uživatelů platformy Android. Mezi postiženými aplikacemi bylo rovněž přes 30 milionů instalací kryptoměnových peněženek, což celou situaci činí mimořádně závažnou.
EngageLab je platforma zaměřená na zapojení uživatelů prostřednictvím mobilních notifikací a analytických nástrojů. Její SDK je široce integrováno do různých aplikací třetích stran, což z ní dělá atraktivní cíl pro potenciální útočníky. Právě tato hojná rozšířenost zapříčinila, že dopad zranitelnosti dosáhl takového rozsahu.
Odhalená bezpečnostní chyba spočívala v nedostatečném zabezpečení komunikačních kanálů uvnitř samotného SDK. Útočník mohl tuto slabinu zneužít k zachycení citlivých dat nebo k provádění škodlivých operací v kontextu postižené aplikace. Obzvláště znepokojivý je fakt, že mezi zranitelnými aplikacemi se nacházelo velké množství peněženek pro kryptoměny, v nichž uživatelé uchovávají digitální aktiva s reálnou finanční hodnotou.
Celkový počet ohrožených uživatelů se odhaduje na přibližně 50 milionů. Z toho více než 30 milionů tvoří uživatelé aplikací sloužících ke správě kryptoměnových prostředků. Tento segment je přitom z hlediska bezpečnosti obzvláště citlivý, neboť kompromitace přístupových údajů nebo soukromých klíčů může vést k nevratné finanční ztrátě.
Vývojáři aplikací využívajících SDK EngageLab by měli bez prodlení integrovat aktualizovanou a opravenou verzi knihovny a informovat své uživatele o provedených bezpečnostních opatřeních.
Tento případ opět připomíná rizika spojená se závislostí na knihovnách třetích stran v mobilním ekosystému. Jediná zranitelnost v široce rozšířeném SDK může mít kaskádový efekt a ohrozit desítky milionů uživatelů najednou. Důkladný bezpečnostní audit závislostí by proto měl být nedílnou součástí vývoje každé aplikace, zejména té, která nakládá s finančními prostředky uživatelů.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
