### Detalles de la Vulnerabilidad en EngageLab SDK Han surgido detalles sobre una vulnerabilidad de seguridad que afecta al **EngageLab SDK**. Este SDK es un kit de desarrollo de software de terceros para Android, popular entre los desarrolladores, que ofrece servicios de notificaciones push. La vulnerabilidad podría haber expuesto a millones de usuarios de billeteras de criptomonedas a riesgos potenciales. Según el Equipo de Investigación de Seguridad de **Microsoft** Defender, "Esta falla permite que las aplicaciones en el mismo dispositivo eludan el sandbox de seguridad de Android y obtengan acceso no autorizado a datos privados." ### Notificaciones Push y Seguimiento de Usuarios El **EngageLab SDK** proporciona un servicio de notificaciones push diseñado para entregar notificaciones oportunas basadas en el comportamiento del usuario ya rastreado por los desarrolladores. Una vez integrado en una aplicación, el SDK facilita notificaciones personalizadas y participación en tiempo real. ### Impacto en las Billeteras de Criptomonedas **Microsoft** informó que un número significativo de aplicaciones que utilizan el SDK se encuentran dentro del ecosistema de billeteras digitales y de criptomonedas. Las aplicaciones de billetera afectadas representan más de 30 millones de instalaciones. Incluyendo aplicaciones no billetera construidas sobre el mismo SDK, el recuento de instalaciones supera los 50 millones. Si bien **Microsoft** no ha revelado los nombres específicos de las aplicaciones, confirmaron que todas las aplicaciones detectadas que utilizan versiones vulnerables del SDK han sido eliminadas de la **Google Play Store**. Tras la divulgación responsable en abril de 2025, **EngageLab** lanzó la versión 5.2.1 en noviembre de 2025 para abordar la vulnerabilidad. ### Explicación de la Redirección de Intent La vulnerabilidad, identificada en la versión 4.5.4, se clasifica como una vulnerabilidad de redirección de intent. Los intents en Android son objetos de mensajería utilizados para solicitar una acción de otro componente de la aplicación. La redirección de intent ocurre cuando se manipula el contenido de un intent enviado por una aplicación vulnerable. Esto explota el contexto de confianza de la aplicación (es decir, los permisos) para obtener acceso no autorizado a componentes protegidos, exponer datos sensibles o escalar privilegios dentro del entorno Android. ### Escenario de Ataque Potencial Un atacante podría explotar esta vulnerabilidad a través de una aplicación maliciosa instalada en el dispositivo. Esta aplicación maliciosa podría entonces acceder a directorios internos asociados con una aplicación que tiene el SDK integrado, lo que llevaría a un acceso no autorizado a datos sensibles. ### Mitigación y Recomendaciones Actualmente, no hay evidencia de que la vulnerabilidad haya sido explotada maliciosamente. Sin embargo, se recomienda encarecidamente a los desarrolladores que utilizan el SDK que actualicen a la última versión (5.2.1) de inmediato. Incluso las fallas aparentemente triviales en bibliotecas upstream pueden tener efectos en cascada significativos, afectando a millones de dispositivos. **Microsoft** enfatizó: "Este caso muestra cómo las debilidades en los SDK de terceros pueden tener implicaciones de seguridad a gran escala, especialmente en sectores de alto valor como la gestión de activos digitales. Las aplicaciones dependen cada vez más de SDK de terceros, creando dependencias de cadena de suministro grandes y a menudo opacas. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o dependen de suposiciones de confianza que no se validan a través de los límites de las aplicaciones."