### Details zur EngageLab SDK-Schwachstelle Details sind zu einer Sicherheitslücke aufgetaucht, die das **EngageLab SDK** betrifft. Dieses SDK ist ein beliebter Drittanbieter-SDK für Android, der Entwicklern Push-Benachrichtigungsdienste anbietet. Die Schwachstelle hätte Millionen von Nutzern von Kryptowährungs-Wallets potenziellen Risiken aussetzen können. Laut dem **Microsoft** Defender Security Research Team "ermöglicht dieser Fehler Apps auf demselben Gerät, die Android-Sicherheits-Sandbox zu umgehen und unbefugten Zugriff auf private Daten zu erhalten." ### Push-Benachrichtigungen und Nutzerverfolgung Das **EngageLab SDK** bietet einen Push-Benachrichtigungsdienst, der darauf ausgelegt ist, zeitnahe Benachrichtigungen basierend auf dem vom Entwickler bereits verfolgten Nutzerverhalten zu liefern. Nach der Integration in eine App ermöglicht das SDK personalisierte Benachrichtigungen und Echtzeit-Interaktionen. ### Auswirkungen auf Kryptowährungs-Wallets **Microsoft** berichtete, dass eine beträchtliche Anzahl von Apps, die das SDK nutzen, im Ökosystem für Kryptowährungen und digitale Wallets angesiedelt ist. Betroffene Wallet-Apps machen über 30 Millionen Installationen aus. Einschließlich Nicht-Wallet-Apps, die auf demselben SDK basieren, übersteigt die Installationszahl 50 Millionen. Obwohl **Microsoft** die spezifischen App-Namen nicht bekannt gab, bestätigte das Unternehmen, dass alle erkannten Apps, die anfällige SDK-Versionen verwenden, aus dem **Google Play Store** entfernt wurden. Nach verantwortungsvoller Offenlegung im April 2025 veröffentlichte **EngageLab** im November 2025 die Version 5.2.1 zur Behebung der Schwachstelle. ### Intent-Redirection erklärt Die in Version 4.5.4 identifizierte Schwachstelle wird als Intent-Redirection-Schwachstelle klassifiziert. Intents in Android sind Nachrichtenobjekte, die verwendet werden, um eine Aktion von einer anderen App-Komponente anzufordern. Intent-Redirection tritt auf, wenn der Inhalt eines von einer anfälligen App gesendeten Intents manipuliert wird. Dies nutzt den vertrauenswürdigen Kontext der App (d. h. Berechtigungen) aus, um unbefugten Zugriff auf geschützte Komponenten zu erlangen, sensible Daten preiszugeben oder Berechtigungen innerhalb der Android-Umgebung zu eskalieren. ### Mögliches Angriffsszenario Ein Angreifer könnte diese Schwachstelle über eine bösartige App ausnutzen, die auf dem Gerät installiert ist. Diese bösartige App könnte dann auf interne Verzeichnisse zugreifen, die mit einer App verbunden sind, in die das SDK integriert ist, was zu unbefugtem Zugriff auf sensible Daten führt. ### Abhilfemaßnahmen und Empfehlungen Derzeit gibt es keine Hinweise darauf, dass die Schwachstelle bösartig ausgenutzt wurde. Entwickler, die das SDK verwenden, werden jedoch dringend aufgefordert, sofort auf die neueste Version (5.2.1) zu aktualisieren. Selbst scheinbar triviale Fehler in Upstream-Bibliotheken können erhebliche kaskadierende Auswirkungen haben und Millionen von Geräten betreffen. **Microsoft** betonte: "Dieser Fall zeigt, wie Schwächen in Drittanbieter-SDKs weitreichende Sicherheitsimplikationen haben können, insbesondere in hochkarätigen Sektoren wie der Verwaltung digitaler Vermögenswerte. Apps verlassen sich zunehmend auf Drittanbieter-SDKs und schaffen so große und oft undurchsichtige Abhängigkeiten in der Lieferkette. Diese Risiken steigen, wenn Integrationen exportierte Komponenten preisgeben oder auf Vertrauensannahmen beruhen, die nicht über App-Grenzen hinweg validiert werden."