- Microsoft encuentra una falla en el SDK de EngageLab que afecta a 50 millones de dispositivos Android
- La vulnerabilidad permite que las aplicaciones eviten la zona de pruebas y accedan a datos personales
- Al menos 30 millones de aplicaciones criptográficas instaladas, parcheadas en v5.2.1
Alrededor de 50 millones de dispositivos Android utilizan aplicaciones con vulnerabilidades que podrían permitir a los actores de amenazas acceder a datos personales almacenados en esos dispositivos, advierten los expertos. Muchas de estas instalaciones eran aplicaciones de criptomonedas, lo que sólo exacerbó el problema.
Los investigadores de seguridad de Microsoft dijeron que identificaron una “vulnerabilidad de redirección de intención” en EngageLab SDK, un popular kit de desarrollo de software que ayuda a crear funciones de participación del usuario, como notificaciones automáticas o mensajes dentro de la aplicación.
“Esta falla permite que las aplicaciones en el mismo dispositivo eviten la zona de pruebas de seguridad de Android y obtengan acceso no autorizado a datos privados”, escribió Microsoft en su informe.
El artículo continúa a continuación.
Eliminar aplicaciones vulnerables
Las intenciones son un mecanismo en Android que se utiliza para comunicarse entre aplicaciones (o entre múltiples componentes dentro de una sola aplicación). Actúa como un objeto de mensaje que transporta datos e instrucciones, lo que permite que un componente solicite una acción a otro (como abrir una actividad o activar una función).
Si bien cualquier aplicación puede enviar una intención, su aceptación depende de la identidad y los permisos de la aplicación que la envía.
Microsoft no dijo qué aplicaciones contenían el SDK vulnerable, pero dijo que al menos 30 millones de las descargas correspondieron a aplicaciones de criptomonedas. El error se descubrió en la versión 4.5.4 en abril de 2025. Se corrigió a la versión 5.2.1 en noviembre del mismo año.
Todas las aplicaciones creadas con el SDK defectuoso han sido eliminadas de la Play Store de Google, dijo.
Microsoft también dijo que no encontró evidencia de que actores maliciosos descubrieran la falla de antemano y la usaran como día cero en ataques de la vida real. Sin embargo, se solicita a los desarrolladores que actualicen el SDK a la nueva versión lo antes posible.
“Este caso muestra cómo las vulnerabilidades en los SDK de terceros pueden tener implicaciones de seguridad a gran escala, especialmente en sectores de alto valor como la gestión de activos digitales”, dijo Microsoft. “Las aplicaciones dependen cada vez más de SDK de terceros, lo que crea dependencias grandes y a menudo opacas en la cadena de suministro. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o se basan en suposiciones de confianza que no son válidas a través de los límites de las aplicaciones”.
a través de Noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
