A plataforma de segurança blockchain GoPlus emitiu, a 10 de abril, um alerta de emergência, indicando que existe uma vulnerabilidade grave no SDK EngageLab utilizado amplamente para notificações push em dispositivos Android. A falha afeta mais de 50 milhões de utilizadores Android, dos quais cerca de 30 milhões são utilizadores de carteiras de criptomoedas. O atacante pode implementar, nos dispositivos das vítimas, um software malicioso disfarçado de uma aplicação legítima, para roubar as chaves privadas da carteira de criptomoedas e as credenciais de início de sessão.
Princípio técnico da vulnerabilidade: cadeia de ataque entre aplicações com execução silenciosa
(Fonte: GoPlus)
O defeito central desta vulnerabilidade reside no facto de o SDK EngageLab não realizar uma validação de origem suficientemente rigorosa ao tratar o mecanismo de comunicação por Intent do sistema Android. O Intent é um mecanismo legítimo para a troca de comandos entre aplicações Android, mas a implementação do SDK EngageLab permite que comandos provenientes de origens não autorizadas contornem os processos normais de validação, desencadeando a execução de operações sensíveis pela aplicação-alvo.
Cadeia de ataque completa em três passos
Inserção de aplicação maliciosa: o atacante disfarça o software malicioso como uma App legítima, levando a vítima a instalá-la no mesmo dispositivo Android
Injeção de Intent malicioso: a aplicação maliciosa envia, para uma carteira de criptomoedas ou aplicação financeira já integrada com o SDK EngageLab no mesmo dispositivo, um Intent malicioso cuidadosamente construído
Execução de operações com privilégios indevidos: após a aplicação-alvo receber o Intent, executa operações não autorizadas sem o conhecimento do utilizador, incluindo o roubo de chaves privadas da carteira, credenciais de início de sessão e outros dados sensíveis
O maior perigo desta cadeia de ataque está na sua natureza silenciosa: a vítima não precisa de fazer nada proactivamente; basta que, no dispositivo, coexistam uma aplicação maliciosa e uma aplicação que contenha a versão do SDK EngageLab com vulnerabilidade, para que o ataque seja concluído em segundo plano.
Dimensão do impacto: risco de perdas irreversíveis de ativos para utilizadores de cripto
Enquanto componente básico amplamente implantado para notificações push, o SDK EngageLab é integrado em milhares de aplicações Android, o que faz com que a área afetada atinja a escala de 50 milhões de dispositivos. Dentro desse universo, cerca de 30 milhões correspondem a utilizadores de carteiras de criptomoedas.
Se a chave privada da carteira de criptomoedas vazar, o atacante consegue controlar totalmente os ativos on-chain da vítima. Além disso, a característica de irreversibilidade das transações na blockchain significa que perdas deste tipo são praticamente impossíveis de recuperar, com um nível de risco muito superior ao de incidentes comuns de fuga de dados em aplicações normais.
Medidas de resposta urgente: lista de ações imediatas para programadores e utilizadores
Recomendações de segurança por grupos
- Programadores e fornecedores de aplicações
· Verificar imediatamente se o produto integra o SDK EngageLab e confirmar se a versão atual é inferior a 4.5.5
· Atualizar para o SDK EngageLab 4.5.5 ou para uma versão de correção oficial superior (consulte a documentação oficial do EngageLab)
· Republicar a versão atualizada e notificar os utilizadores para concluírem a atualização o mais rapidamente possível
- Utilizadores Android em geral
· Ir imediatamente ao Google Play para atualizar todas as aplicações, dando prioridade às aplicações de carteiras de criptomoedas e financeiras
· Manter-se atento a aplicações descarregadas a partir de fontes desconhecidas ou canais não oficiais e, se necessário, eliminá-las imediatamente
· Se suspeitar que a chave privada já foi exposta, deve criar imediatamente uma nova carteira num dispositivo seguro, transferir os ativos e desativar permanentemente o endereço antigo
Perguntas frequentes
O que é o SDK EngageLab e por que motivo é amplamente integrado em carteiras de criptomoedas?
O SDK EngageLab é um pacote de software de terceiros que fornece funcionalidades de notificações push para Android. Por ser fácil de implementar, é adotado por muitas aplicações. As notificações push são uma funcionalidade padrão em quase todas as aplicações móveis; por isso, o SDK EngageLab está amplamente presente em carteiras de criptomoedas e aplicações financeiras, o que, por sua vez, levou a que a escala do impacto desta vulnerabilidade chegasse a 50 milhões de utilizadores.
Como confirmar se o meu dispositivo é afetado por esta vulnerabilidade?
Se o seu dispositivo Android tiver instalada uma carteira de criptomoedas ou uma aplicação financeira e ainda não tiver sido atualizado para a versão mais recente, existe risco de ser afetado. Recomenda-se que atualize imediatamente todas as aplicações na Google Play Store. Os programadores podem verificar o número da versão do SDK dentro da aplicação para confirmar se está a utilizar uma versão do SDK EngageLab inferior a 4.5.5.
Se a chave privada já tiver vazado, como lidar de forma urgente?
Deve criar imediatamente um endereço de carteira totalmente novo num dispositivo seguro não infetado, transferir todos os ativos da carteira original para o novo endereço e desativar permanentemente o endereço original. Em simultâneo, altere as palavras-passe de início de sessão de todas as plataformas relacionadas e ative a autenticação de dois fatores para a conta, para reduzir o risco de novas invasões adicionais no futuro.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Golpistas se passam por autoridades iranianas para extorquir armadores de embarcações encalhadas em Bitcoin e Tether
Mensagem da Gate News, 21 de abril — Atores desconhecidos enviaram mensagens fraudulentas a empresas de navegação com embarcações presas a oeste do Estreito de Ormuz, alegando serem autoridades iranianas e oferecendo passagem segura em troca de taxas pagas em Bitcoin ou Tether, segundo a empresa grega de risco MARISKS. A messa
GateNews34m atrás
Atualização do evento rsETH da Aave: Core V3 WETH é descongelado, as cinco principais reservas de mercado continuam congeladas
Aave anunciou no dia 21 de abril na plataforma X que as reservas de WETH no mercado Ethereum Core V3 foram desbloqueadas, e que os usuários podem novamente fornecer WETH para o Ethereum Core V3; o valor do empréstimo de WETH em relação ao patrimônio (LTV) ainda permanece em 0. As reservas de WETH no Ethereum Prime, Arbitrum, Base, Mantle e Linea continuam congeladas.
MarketWhisper1h atrás
Mulher de Hong Kong Perde 7,7M HKD em Cripto ao Cair em Golpe de Trading com IA
Uma mulher de Hong Kong perdeu 7,7 milhões de HKD para um golpista que se passou por um especialista em investimentos no Telegram, prometendo altos retornos com baixo risco. Depois de transferir recursos várias vezes, ela não conseguiu sacar o dinheiro, revelando a fraude. A polícia alertou contra esse tipo de golpe.
GateNews1h atrás
A Open Network sofre vazamento de dados por um membro interno; após a queda abrupta do token ION, a rede se reorganiza para sobreviver
A Ice Open Network publicou um post no X em 20 de abril, confirmando o incidente de vazamento de dados que ocorreu na semana passada. A causa foi que, após a rescisão do relacionamento comercial com um provedor de serviços terceirizado, quatro parceiros ainda acessaram servidores externos, vazando os endereços de e-mail dos usuários, números de telefone de 2FA e dados de vinculação de identidade. O contexto deste incidente é o seguinte: o token ION já havia despencado 93% duas semanas antes, e a equipe do projeto está em um período de reorganização de emergência em larga escala.
MarketWhisper1h atrás
Banco de Compensações Internacionais alerta: stablecoins são mais parecidas com títulos; falhas no resgate podem desencadear um ataque de corridas ao saque
O diretor-geral do Banco de Compensações Internacionais (BIS), Pablo Hernández de Cos, alertou na segunda-feira, em um seminário do Banco do Japão, que o tamanho do mercado global de stablecoins já ultrapassou US$ 315,9 bilhões, mas que o mecanismo de funcionamento é mais parecido com produtos de investimento, como ETFs, do que com uma moeda de verdade. O BIS afirma que, se ocorrer um resgate em larga escala, isso desencadeará um efeito dominó de corrida semelhante ao ocorrido em 2023 no Silicon Valley Bank (Silicon Valley Bank).
MarketWhisper2h atrás
O fundador da Curve pede padrões de segurança para DeFi em meio a uma onda de invasões
Michael Egorov, fundador da Curve Finance, destacou as vulnerabilidades da indústria de DeFi após um hack significativo. Ele enfatizou a necessidade de medidas preventivas, padrões colaborativos de segurança e responsabilização para restaurar a confiança e garantir uma adoção segura no setor.
CryptoFrontier2h atrás
