Vulnérabilité grave détectée dans le SDK de développement logiciel (SDK) Android tiers utilisé par plusieurs applications de portefeuille crypto. Cette découverte a été révélée par l'équipe de recherche en sécurité de Microsoft Defender.

Dans son rapport officiel, cette faille affecte plus de 30 millions d'installations d'applications de portefeuille crypto, avec une exposition totale dépassant 50 millions d'installations d'applications. L'écosystème des portefeuilles numériques devient le plus à risque car il stocke des actifs ainsi que des données utilisateur.

Si elle est exploitée, cette vulnérabilité pourrait permettre un accès à des informations personnelles (PII), aux identifiants utilisateur, ainsi qu'à des données financières sensibles stockées dans le répertoire privé de l'application.

Ce problème provient d’un composant du SDK EngageLab nommé MTCommonActivity, qui est ajouté automatiquement lors du processus de construction de l’application. Étant donné que ce composant peut être accessible par d’autres applications sur le même appareil, une faille de sécurité apparaît.

En conséquence, une application malveillante pourrait envoyer des commandes fausses (intent) pour que l’application de portefeuille les traite avec des permissions de confiance. Cependant, Microsoft indique qu’il n’y a pas encore de preuve que cette vulnérabilité ait été exploitée activement.
#GateLaunchesPreIPOS
#GateSquareAprilPostingChallenge