### Détails de la vulnérabilité EngageLab SDK Des détails ont émergé concernant une vulnérabilité de sécurité affectant le **EngageLab SDK**. Ce SDK est un kit de développement logiciel Android tiers, populaire auprès des développeurs, offrant des services de notifications push. La vulnérabilité aurait pu exposer des millions d'utilisateurs de portefeuilles de cryptomonnaies à des risques potentiels. Selon l'équipe de recherche en sécurité de **Microsoft** Defender, "Cette faille permet aux applications sur le même appareil de contourner le bac à sable de sécurité Android et d'obtenir un accès non autorisé aux données privées." ### Notifications Push et Suivi des Utilisateurs Le **EngageLab SDK** fournit un service de notifications push conçu pour délivrer des notifications en temps opportun basées sur le comportement des utilisateurs déjà suivi par les développeurs. Une fois intégré dans une application, le SDK facilite les notifications personnalisées et l'engagement en temps réel. ### Impact sur les Portefeuilles de Cryptomonnaies **Microsoft** a rapporté qu'un nombre significatif d'applications utilisant le SDK font partie de l'écosystème des portefeuilles de cryptomonnaies et numériques. Les applications de portefeuille affectées représentent plus de 30 millions d'installations. En incluant les applications non-portefeuilles construites sur le même SDK, le nombre d'installations dépasse les 50 millions. Bien que **Microsoft** n'ait pas divulgué les noms spécifiques des applications, ils ont confirmé que toutes les applications détectées utilisant des versions vulnérables du SDK ont été retirées du **Google Play Store**. Suite à une divulgation responsable en avril 2025, **EngageLab** a publié la version 5.2.1 en novembre 2025 pour corriger la vulnérabilité. ### Explication de la Redirection d'Intention La vulnérabilité, identifiée dans la version 4.5.4, est classée comme une vulnérabilité de redirection d'intention. Les intentions dans Android sont des objets de messagerie utilisés pour demander une action à un autre composant d'application. La redirection d'intention se produit lorsque le contenu d'une intention envoyée par une application vulnérable est manipulé. Cela exploite le contexte de confiance de l'application (c'est-à-dire les permissions) pour obtenir un accès non autorisé à des composants protégés, exposer des données sensibles ou élever des privilèges dans l'environnement Android. ### Scénario d'Attaque Potentiel Un attaquant pourrait exploiter cette vulnérabilité via une application malveillante installée sur l'appareil. Cette application malveillante pourrait alors accéder aux répertoires internes associés à une application qui a le SDK intégré, conduisant à un accès non autorisé à des données sensibles. ### Atténuation et Recommandations Actuellement, il n'y a aucune preuve que la vulnérabilité ait été exploitée de manière malveillante. Cependant, il est fortement conseillé aux développeurs utilisant le SDK de mettre à jour vers la dernière version (5.2.1) immédiatement. Même des failles apparemment triviales dans les bibliothèques en amont peuvent avoir des effets en cascade significatifs, affectant des millions d'appareils. **Microsoft** a souligné : "Ce cas montre comment les faiblesses des SDK tiers peuvent avoir des implications de sécurité à grande échelle, en particulier dans des secteurs à haute valeur comme la gestion des actifs numériques. Les applications dépendent de plus en plus des SDK tiers, créant des dépendances de chaîne d'approvisionnement vastes et souvent opaques. Ces risques augmentent lorsque les intégrations exposent des composants exportés ou s'appuient sur des hypothèses de confiance qui ne sont pas validées entre les limites des applications."