### EngageLab SDKの脆弱性詳細 **EngageLab SDK**に影響を与えるセキュリティ脆弱性に関する詳細が明らかになりました。このSDKは、開発者の間で人気のあるサードパーティ製Androidソフトウェア開発キットであり、プッシュ通知サービスを提供しています。この脆弱性は、数百万の仮想通貨ウォレットユーザーを潜在的なリスクにさらす可能性がありました。 **Microsoft** Defender Security Research Teamによると、「この脆弱性により、同じデバイス上のアプリがAndroidのセキュリティサンドボックスをバイパスし、プライベートデータへの不正アクセスが可能になります。」 ### プッシュ通知とユーザー追跡 **EngageLab SDK**は、開発者によって既に追跡されているユーザー行動に基づいて、タイムリーな通知を配信するように設計されたプッシュ通知サービスを提供します。SDKがアプリに統合されると、パーソナライズされた通知とリアルタイムのエンゲージメントが容易になります。 ### 仮想通貨ウォレットへの影響 **Microsoft**は、SDKを利用しているアプリの相当数が仮想通貨およびデジタルウォレットのエコシステム内にあると報告しました。影響を受けたウォレットアプリは、3,000万以上のインストールを占めています。同じSDKで構築されたウォレット以外のアプリを含めると、インストール数は5,000万を超えます。 **Microsoft**は具体的なアプリ名を明らかにしていませんが、脆弱なSDKバージョンを使用している検出されたすべてのアプリが**Google Play Store**から削除されたことを確認しました。2025年4月の責任ある開示の後、**EngageLab**は脆弱性に対処するため、2025年11月にバージョン5.2.1をリリースしました。 ### インテントリダイレクトの説明 バージョン4.5.4で特定されたこの脆弱性は、インテントリダイレクト脆弱性として分類されています。Androidにおけるインテントは、他のアプリコンポーネントにアクションを要求するために使用されるメッセージングオブジェクトです。 インテントリダイレクトは、脆弱なアプリによって送信されたインテントの内容が操作された場合に発生します。これは、アプリの信頼されたコンテキスト（つまり、権限）を悪用して、保護されたコンポーネントへの不正アクセス、機密データの公開、またはAndroid環境内での権限昇格を可能にします。 ### 潜在的な攻撃シナリオ 攻撃者は、デバイスにインストールされた悪意のあるアプリを介してこの脆弱性を悪用する可能性があります。この悪意のあるアプリは、SDKが統合されているアプリに関連する内部ディレクトリにアクセスし、機密データへの不正アクセスにつながる可能性があります。 ### 緩和策と推奨事項 現在、この脆弱性が悪意を持って悪用された証拠はありません。しかし、SDKを使用している開発者は、直ちに最新バージョン（5.2.1）に更新することを強く推奨します。アップストリームライブラリの些細に見える欠陥でさえ、数百万のデバイスに影響を与える重大な連鎖的な影響を与える可能性があります。 **Microsoft**は次のように強調しています。「この事例は、サードパーティ製SDKの弱点が、特にデジタル資産管理のような高価値分野において、大規模なセキュリティ上の影響を与える可能性があることを示しています。アプリはますますサードパーティ製SDKに依存するようになり、大きくてしばしば不透明なサプライチェーンの依存関係を生み出しています。これらのリスクは、統合がエクスポートされたコンポーネントを公開したり、アプリの境界を越えて検証されない信頼の仮定に依存したりする場合に増加します。」