TL;DR
- Microsofts sikkerhetsforskere avdekket en alvorlig «intent redirection»-sårbarhet i EngageLabs EngageSDK, brukt av kryptolommebøker på Android
- Over 30 millioner installasjoner av kryptolommebøker var eksponert — totalt over 50 millioner installasjoner på tvers av alle berørte apper
- En oppdatert versjon av SDK-en (5.2.1) ble ikke sluppet før 3. november 2025 — syv måneder etter funn
- Per 9. april 2026 er det ifølge Microsoft ingen kjente bevis for at sårbarheten faktisk ble utnyttet
Microsoft avdekket kritisk sårbarhet i Android-SDK
Microsofts Defender Security Research Team offentliggjorde nylig funn fra en sikkerhetsundersøkelse gjennomført i april 2025. Forskerne oppdaget en alvorlig sårbarhet i EngageLab sin EngageSDK — et tredjepartsbibliotek primært brukt til å håndtere push-varsler og meldingsfunksjoner i mobilapper.
Sårbarheten, som befant seg i versjon 4.5.4 av SDK-en, er klassifisert som en «intent redirection»-feil. Dette betyr at en ondsinnet app installert på samme enhet potensielt kunne manipulere og omdirigere kommunikasjonen mellom apper — og dermed skaffe seg tilgang til sensitiv informasjon som normalt er beskyttet av Androids sikkerhetsarkitektur.
I verste fall kunne angripere ha fått tak i private nøkler, seed phrases og lommebokadresser tilhørende kryptovaluta-brukere, ifølge Bitcoinist sin omtale av saken.
Massiv eksponering — 50 millioner installasjoner totalt
Omfanget av sårbarheten er betydelig. Microsofts forskere anslår at over 30 millioner installasjoner av kryptolommebøker alene benyttet sårbare versjoner av EngageSDK. Inkluderes øvrige apper bygget med det samme biblioteket, stiger det totale eksponeringstallet til over 50 millioner installasjoner.
Microsoft varslet EngageLab om funnet i april 2025. Android Security Team ble i tillegg informert i mai 2025, ettersom de berørte appene var distribuert gjennom Google Play. En patchet versjon av SDK-en — versjon 5.2.1 — ble ikke tilgjengelig før 3. november 2025. Løsningen besto i å sette den sårbare aktivitetskomponenten til «non-exported», slik at den ikke lenger kan aktiveres av eksterne apper.
Ingen kjente angrep — men risikoen var reell
Det er viktig å understreke at Microsoft per 9. april 2026 ikke har funnet bevis for at sårbarheten faktisk ble utnyttet i praksis. Dette demper den umiddelbare alarmtilstanden noe, men fritar ikke bransjen fra å ta lærdom av hendelsen.
Alle kryptolommebøker med sårbare versjoner av EngageSDK er nå fjernet fra Google Play. Google har i tillegg implementert ytterligere beskyttelsestiltak for brukere som tidligere lastet ned de berørte applikasjonene.
Microsoft navnga ikke de konkrete lommebøkene som var rammet, men oppfordrer alle utviklere som benytter EngageLab sin SDK til å oppgradere til versjon 5.2.1 eller høyere umiddelbart.
Selv små feil i oppstrøms biblioteker kan ramme millioner av enheter — risikoen øker når integrasjoner eksponerer komponenter uten validering på tvers av app-grenser
Et strukturelt problem for hele bransjen
Saken setter søkelyset på en kjent, men ofte undervurdert risiko i mobiløkosystemet: avhengigheten av tredjepartsbiblioteker. Microsofts forskere peker på at Android-apper svært ofte er bygget på eksterne biblioteker, og at usikre integrasjoner kan introdusere angrepsvektorer i apper som ellers er godt sikret.
For kryptobransjen er implikasjonene særlig alvorlige. Lommebøker håndterer verdier som er direkte tilgjengelige for den som får tak i private nøkler — uten mulighet for tilbakeføring eller forsikringsdekning i de fleste tilfeller.
Råd til brukere og utviklere
Microsoft anbefaler følgende tiltak:
- Brukere: Hold alle apper oppdatert og last kun ned fra offisielle og pålitelige kilder som Google Play
- Utviklere: Oppgrader til EngageSDK versjon 5.2.1 eller nyere umiddelbart dersom biblioteket er i bruk
- Generelt: Gjennomfør jevnlig sikkerhetsvurdering av alle tredjepartsbiblioteker i applikasjoner som håndterer sensitiv finansdata
Saken er omtalt av Bitcoinist med referanse til Microsofts offentliggjøring.
