Microsoft découvre une faille critique de contournement de sécurité dans EngageLab SDK
L'équipe de sécurité Defender de Microsoft a divulgué une vulnérabilité critique dans EngageLab SDK, un kit de développement logiciel Android tiers largement déployé utilisé par des applications de cryptomonnaie dans le monde entier. La faille, découverte lors de recherches de sécurité de routine, permettait à des applications malveillantes installées sur le même appareil Android de contourner complètement les protections fondamentales du bac à sable de sécurité d'Android et d'accéder sans autorisation à des données privées sensibles stockées par des applications de portefeuille de cryptomonnaie.
EngageLab SDK sert de cadre de développement populaire pour les applications mobiles, en particulier celles des secteurs de la technologie financière et de la cryptomonnaie. Le SDK fournit des services de notifications push, des analyses d'engagement des utilisateurs et des capacités de synchronisation de données que les développeurs intègrent dans leurs applications. Cependant, la vulnérabilité de sécurité au sein de ce SDK a créé un vecteur d'attaque dangereux qui pourrait compromettre le modèle de sécurité de base sur lequel Android repose pour isoler les applications les unes des autres.
La vulnérabilité ciblait spécifiquement le mécanisme de bac à sable des applications Android, qui forme la base de l'architecture de sécurité du système d'exploitation. Dans des circonstances normales, Android isole chaque application dans son propre environnement de bac à sable, empêchant les applications d'accéder aux données appartenant à d'autres applications sans autorisations explicites. Cet isolement est crucial pour protéger des informations sensibles comme les clés privées de cryptomonnaie, les graines de portefeuille et les données de transaction que les utilisateurs stockent dans leurs applications de portefeuille mobile.
Les chercheurs en sécurité de Microsoft ont identifié que le SDK EngageLab contenait du code qui pouvait être exploité pour briser ces barrières de bac à sable. Lorsqu'une application malveillante contenant du code d'exploitation était installée aux côtés d'un portefeuille de cryptomonnaie légitime utilisant le SDK EngageLab vulnérable, l'application malveillante pouvait tirer parti des autorisations élevées du SDK pour accéder aux magasins de données protégés. Cette méthode d'attaque ne nécessitait aucune interaction de l'utilisateur ni d'autorisations supplémentaires au-delà de ce que l'application malveillante demanderait normalement lors de l'installation.
La découverte est survenue dans le cadre des initiatives de recherche sur les menaces mobiles en cours de Microsoft, où les analystes de sécurité examinent les SDK et cadres tiers populaires pour détecter les vulnérabilités potentielles pouvant affecter la sécurité des entreprises et des consommateurs. L'équipe a utilisé des techniques avancées d'analyse statique et dynamique pour identifier les chemins de code spécifiques au sein du SDK EngageLab qui permettaient le contournement du bac à sable, documentant la chaîne d'attaque complète depuis l'exploitation initiale jusqu'à l'exfiltration de données.
Les utilisateurs de portefeuilles de cryptomonnaie font face à un risque d'exposition généralisé
La vulnérabilité a potentiellement affecté des millions d'utilisateurs de portefeuilles de cryptomonnaie dans le monde entier qui avaient des applications intégrant la version vulnérable du SDK EngageLab installées sur leurs appareils Android. Les applications de portefeuille de cryptomonnaie populaires, y compris les solutions de portefeuille avec ou sans garde, intègrent couramment des SDK tiers comme EngageLab pour améliorer l'engagement des utilisateurs et fournir des capacités de notifications push pour les alertes de transaction et les notifications de sécurité.
Les appareils Android exécutant n'importe quelle version du système d'exploitation étaient susceptibles à cette attaque, car la vulnérabilité existait dans le code du SDK lui-même plutôt que dans des versions spécifiques du système d'exploitation Android. Les utilisateurs avec plusieurs applications installées utilisant le SDK EngageLab faisaient face à un risque accru, car l'attaque nécessitait à la fois une application vulnérable contenant le SDK et une application malveillante conçue pour exploiter la faille pour être présentes sur le même appareil simultanément.
Les environnements d'entreprise où les employés utilisent des appareils Android personnels pour des transactions de cryptomonnaie ou où les organisations gèrent des actifs de cryptomonnaie via des applications mobiles faisaient face à un risque particulier. La vulnérabilité pourrait potentiellement permettre des scénarios d'espionnage industriel où des applications malveillantes pourraient accéder à des données financières sensibles à partir d'applications professionnelles légitimes. Les solutions de gestion des appareils mobiles qui reposent sur les protections du bac à sable d'Android n'auraient pas pu empêcher ce type d'accès aux données entre applications.
Les échanges de cryptomonnaie et les fournisseurs de portefeuilles qui distribuaient des applications contenant les versions vulnérables du SDK EngageLab ont été conseillés de mettre à jour immédiatement leurs applications et d'informer les utilisateurs du risque de sécurité. L'impact financier aurait pu être sévère, car une exploitation réussie pourrait conduire au vol de clés privées, à la signature non autorisée de transactions ou à l'exposition de phrases de graines de portefeuille qui donneraient aux attaquants un contrôle total sur les avoirs en cryptomonnaie.
Étapes de correction et d'atténuation pour la vulnérabilité du SDK EngageLab
EngageLab a publié des versions mises à jour de leur SDK qui traitent la vulnérabilité de sécurité, et tous les développeurs utilisant le cadre sont tenus d'intégrer la version corrigée immédiatement. L'entreprise a travaillé directement avec l'équipe de sécurité de Microsoft pour valider la correction et s'assurer que le SDK mis à jour maintient correctement les mécanismes d'isolation du bac à sable d'Android tout en préservant les fonctionnalités de base du SDK pour les notifications push et les fonctionnalités d'engagement des utilisateurs.
Les développeurs de portefeuilles de cryptomonnaie doivent mettre à jour leurs applications pour utiliser la version corrigée du SDK EngageLab et redistribuer les applications mises à jour via Google Play Store et d'autres canaux de distribution. Les utilisateurs doivent immédiatement mettre à jour toutes les applications de portefeuille de cryptomonnaie sur leurs appareils Android et vérifier qu'elles exécutent les dernières versions disponibles. Les développeurs d'applications peuvent vérifier leur version actuelle du SDK EngageLab en examinant leurs dépendances de projet et en les comparant à l'avis de sécurité publié par EngageLab.
En tant que mesure de sécurité supplémentaire, les utilisateurs Android doivent examiner toutes les applications installées sur les appareils contenant des portefeuilles de cryptomonnaie et supprimer toutes les applications provenant de sources inconnues ou non fiables. Les experts en sécurité recommandent d'activer le balayage Google Play Protect et d'éviter le chargement latéral d'applications à partir de sources tierces qui pourraient contenir du code malveillant conçu pour exploiter les vulnérabilités du SDK. Les utilisateurs devraient également envisager d'utiliser des appareils dédiés pour les transactions de cryptomonnaie qui n'ont pas d'autres applications installées pour minimiser la surface d'attaque.
Les organisations gérant des actifs de cryptomonnaie devraient mettre en œuvre des politiques de gestion des applications mobiles qui restreignent les applications pouvant être installées sur les appareils utilisés pour les transactions financières. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils aux organisations sur le suivi et la réponse aux menaces de sécurité mobile. Les audits de sécurité réguliers des SDK tiers utilisés dans les applications financières devraient devenir une pratique standard pour identifier des vulnérabilités similaires avant qu'elles ne puissent être exploitées par des acteurs malveillants.
