« Cette faille permet aux applications installées sur le même appareil de contourner le bac à sable de sécurité Android et d’accéder sans autorisation à des données privées », a déclaré l’équipe de recherche en sécurité de Microsoft Defender dans un rapport publié aujourd’hui.
EngageLab SDK propose un service de notifications push qui, selon son site web, est conçu pour envoyer des notifications opportunes basées sur le comportement des utilisateurs déjà suivi par les développeurs. Une fois intégré à une application, le SDK permet d’envoyer des notifications personnalisées et de stimuler l’engagement en temps réel.
Le géant technologique a indiqué qu’un nombre important d’applications utilisant le SDK font partie de l’écosystème des cryptomonnaies et des portefeuilles numériques, et que les applications de portefeuille concernées représentaient plus de 30 millions d’installations. Si l’on inclut les applications non liées aux portefeuilles et développées avec le même SDK, ce nombre dépasse les 50 millions.
Microsoft n’a pas divulgué les noms des applications concernées, mais a indiqué que toutes les applications utilisant des versions vulnérables du SDK ont été retirées du Google Play Store. Suite à une divulgation responsable en avril 2025, EngageLab a publié la version 5.2.1 en novembre 2025 afin de corriger la vulnérabilité.
Ce problème, identifié dans la version 4.5.4, est décrit comme une vulnérabilité de redirection d’intention. Sous Android, les intentions sont des objets de messagerie utilisés pour demander une action à un autre composant de l’application.
La redirection d’intention se produit lorsque le contenu d’une intention envoyée par une application vulnérable est manipulé en tirant parti de son contexte de confiance (c’est-à-dire des autorisations) pour obtenir un accès non autorisé à des composants protégés, exposer des données sensibles ou élever les privilèges au sein de l’environnement Android.
Un attaquant pourrait exploiter cette vulnérabilité au moyen d’une application malveillante installée sur l’appareil par un autre moyen afin d’accéder aux répertoires internes associés à une application intégrant le SDK, ce qui permettrait un accès non autorisé à des données sensibles.
Rien ne prouve que cette vulnérabilité ait été exploitée à des fins malveillantes. Cela dit, il est fortement recommandé aux développeurs intégrant le SDK de procéder à la mise à jour vers la dernière version dès que possible, d’autant plus que même des failles mineures dans les bibliothèques en amont peuvent avoir des répercussions en cascade et affecter des millions d’appareils.
« Ce cas illustre comment les failles des kits de développement logiciel tiers peuvent avoir des conséquences majeures en matière de sécurité, notamment dans des secteurs à forte valeur ajoutée comme la gestion des actifs numériques », a déclaré Microsoft. « Les applications dépendent de plus en plus des kits de développement logiciel tiers, ce qui crée des dépendances importantes et souvent opaques au sein de la chaîne d’approvisionnement. Ces risques s’accroissent lorsque les intégrations exposent des composants exportés ou reposent sur des hypothèses de confiance non validées entre les applications. »
