### Detalhes da Vulnerabilidade no EngageLab SDK Detalhes emergiram sobre uma vulnerabilidade de segurança afetando o **EngageLab SDK**. Este SDK é um kit de desenvolvimento de software Android de terceiros, popular entre desenvolvedores, que oferece serviços de notificação push. A vulnerabilidade poderia ter exposto milhões de usuários de carteiras de criptomoedas a riscos potenciais. De acordo com a Equipe de Pesquisa de Segurança do **Microsoft** Defender, "Esta falha permite que aplicativos no mesmo dispositivo contornem o sandbox de segurança do Android e obtenham acesso não autorizado a dados privados." ### Notificações Push e Rastreamento de Usuários O **EngageLab SDK** fornece um serviço de notificação push projetado para entregar notificações oportunas com base no comportamento do usuário já rastreado pelos desenvolvedores. Uma vez integrado a um aplicativo, o SDK facilita notificações personalizadas e engajamento em tempo real. ### Impacto em Carteiras de Criptomoedas A **Microsoft** relatou que um número significativo de aplicativos que utilizam o SDK está no ecossistema de criptomoedas e carteiras digitais. Os aplicativos de carteira afetados representam mais de 30 milhões de instalações. Incluindo aplicativos não relacionados a carteiras construídos com o mesmo SDK, o número de instalações excede 50 milhões. Embora a **Microsoft** não tenha divulgado os nomes específicos dos aplicativos, eles confirmaram que todos os aplicativos detectados usando versões vulneráveis do SDK foram removidos da **Google Play Store**. Após divulgação responsável em abril de 2025, a **EngageLab** lançou a versão 5.2.1 em novembro de 2025 para corrigir a vulnerabilidade. ### Redirecionamento de Intenção Explicado A vulnerabilidade, identificada na versão 4.5.4, é classificada como uma vulnerabilidade de redirecionamento de intenção. Intents no Android são objetos de mensagem usados para solicitar uma ação de outro componente do aplicativo. O redirecionamento de intenção ocorre quando o conteúdo de uma intenção enviada por um aplicativo vulnerável é manipulado. Isso explora o contexto confiável do aplicativo (ou seja, permissões) para obter acesso não autorizado a componentes protegidos, expor dados sensíveis ou escalar privilégios dentro do ambiente Android. ### Cenário de Ataque Potencial Um atacante poderia explorar esta vulnerabilidade através de um aplicativo malicioso instalado no dispositivo. Este aplicativo malicioso poderia então acessar diretórios internos associados a um aplicativo que tem o SDK integrado, levando a acesso não autorizado a dados sensíveis. ### Mitigação e Recomendações Atualmente, não há evidências de que a vulnerabilidade tenha sido explorada maliciosamente. No entanto, desenvolvedores que usam o SDK são fortemente aconselhados a atualizar para a versão mais recente (5.2.1) imediatamente. Mesmo falhas aparentemente triviais em bibliotecas upstream podem ter efeitos cascata significativos, impactando milhões de dispositivos. A **Microsoft** enfatizou: "Este caso mostra como as fraquezas em SDKs de terceiros podem ter implicações de segurança em larga escala, especialmente em setores de alto valor como gerenciamento de ativos digitais. Os aplicativos dependem cada vez mais de SDKs de terceiros, criando dependências de cadeia de suprimentos grandes e muitas vezes opacas. Esses riscos aumentam quando as integrações expõem componentes exportados ou dependem de suposições de confiança que não são validadas entre os limites do aplicativo."