hu, 09 Apr 2026
← VoltarUma vulnerabilidade no SDK do EngageLab permitiu que aplicativos no mesmo dispositivo ignorassem a segurança do sandbox do Android, arriscando a exposição de dados privados. A falha foi corrigida para proteger milhões de usuários de carteiras de criptomoedas.
Surgiram detalhes sobre uma vulnerabilidade de segurança agora corrigida em um kit de desenvolvimento de software (SDK) Android de terceiros amplamente usado, chamado EngageLab SDK, que poderia ter colocado em risco milhões de usuários de carteiras de criptomoedas. “Essa falha permite que aplicativos no mesmo dispositivo contornem a sandbox de segurança do Android e obtenham acesso não autorizado a dados privados”, disse a equipe de pesquisa de segurança do Microsoft Defender em um relatório publicado hoje. O EngageLab SDK oferece um serviço de notificação push que, de acordo com seu site, é projetado para entregar “notificações oportunas” com base no comportamento do usuário já rastreado pelos desenvolvedores. Uma vez integrado a um aplicativo, o SDK oferece uma maneira de enviar notificações personalizadas e gerar engajamento em tempo real.
A gigante da tecnologia disse que um número significativo de aplicativos que usam o SDK fazem parte do ecossistema de criptomoedas e carteiras digitais, e que os aplicativos de carteira afetados representaram mais de 30 milhões de instalações. Quando aplicativos que não são de carteira criados no mesmo SDK são incluídos, a contagem de instalações ultrapassa 50 milhões. A Microsoft não revelou os nomes dos aplicativos, mas observou que todos os aplicativos detectados que usam versões vulneráveis do SDK foram removidos da Google Play Store. Após a divulgação responsável em abril de 2025, o EngageLab lançou a versão 5.2.1 em novembro de 2025 para resolver a vulnerabilidade.
O problema, identificado na versão 4.5.4, foi descrito como uma vulnerabilidade de redirecionamento de intenção. As intenções no Android referem-se a objetos de mensagens usados para solicitar uma ação de outro componente do aplicativo. O redirecionamento de intent ocorre quando o conteúdo de uma intent enviada por um aplicativo vulnerável é manipulado aproveitando seu contexto confiável (ou seja, permissões) para obter acesso não autorizado a componentes protegidos, expor dados confidenciais ou aumentar privilégios no ambiente Android. Um invasor pode explorar essa vulnerabilidade por meio de um aplicativo malicioso instalado no dispositivo por outros meios para acessar diretórios internos associados a um aplicativo que tenha o SDK integrado, resultando em acesso não autorizado a dados confidenciais.
Não há evidências de que a vulnerabilidade tenha sido explorada em um contexto malicioso. Dito isso, recomenda-se que os desenvolvedores que integram o SDK atualizem para a versão mais recente o mais rápido possível, especialmente considerando que mesmo falhas triviais em bibliotecas upstream podem ter impactos em cascata e afetar milhões de dispositivos. “Este caso mostra como as fraquezas dos SDKs de terceiros podem ter implicações de segurança em grande escala, especialmente em setores de alto valor, como a gestão de ativos digitais”, afirmou a Microsoft. “Os aplicativos dependem cada vez mais de SDKs de terceiros, criando dependências grandes e muitas vezes opacas na cadeia de suprimentos.
Esses riscos aumentam quando as integrações expõem componentes exportados ou dependem de suposições de confiança que não são validadas além dos limites do aplicativo.”