Microsoft xavfsizlik tadqiqotchilari Android platformasida keng qo‘llaniladigan EngageLab SDK ichida jiddiy zaiflik aniqlanganini ma’lum qildi. Ushbu muammo millionlab foydalanuvchilarning maxfiy ma’lumotlariga xavf tug‘dirgan.
EngageLab SDK — bu ilovalarga push-bildirishnomalar yuborish imkonini beruvchi uchinchi tomon kutubxonasi bo‘lib, foydalanuvchi xatti-harakatlariga asoslangan holda real vaqt rejimida xabarlar yetkazadi.
"Ushbu zaiflik bir qurilmadagi boshqa ilovalarga Android sandbox himoyasini chetlab o‘tib, maxfiy ma’lumotlarga ruxsatsiz kirish imkonini beradi"
Tahlillarga ko‘ra, ayniqsa kripto hamyon ilovalari katta xavf ostida bo‘lgan. EngageLab SDK’dan foydalangan ushbu turdagi ilovalar umumiy hisobda 30 milliondan ortiq yuklab olingan. Boshqa ilovalar bilan birga bu raqam 50 milliondan oshadi.
Zaiflik intent redirection deb nomlangan texnika bilan bog‘liq. Android tizimida “intent” — bu ilovalar o‘rtasida buyruq yoki ma’lumot uzatish uchun ishlatiladigan mexanizm hisoblanadi.
Bu zaiflik orqali hujumchi zararli ilova yordamida boshqa ilovaning ichki komponentlariga kirishi, himoyalangan ma’lumotlarni ochishi yoki tizim ichida yuqori darajadagi ruxsatlarni qo‘lga kiritishi mumkin bo‘lgan.
Hujum ssenariysi quyidagicha ishlaydi:
- Qurilmaga zararli ilova o‘rnatiladi
- U EngageLab SDK’dan foydalangan boshqa ilovani nishonga oladi
- Natijada maxfiy fayllar va ma’lumotlarga ruxsatsiz kirish amalga oshiriladi
Yaxshi tomoni shundaki, hozircha bu zaiflik real hujumlarda ishlatilgani haqida dalillar yo‘q.
Muammo dastlab 2025-yil aprel oyida aniqlangan va ishlab chiquvchilarga xabar berilgan. Keyinchalik EngageLab SDK’ning 5.2.1 versiyasida bu zaiflik bartaraf etilgan.
Shuningdek, zaif versiyadan foydalangan ilovalar Google Play do‘konidan olib tashlangan.
"Uchinchi tomon SDK’laridagi zaifliklar millionlab foydalanuvchilarga ta’sir qilishi mumkin va bu supply chain xavfsizligining naqadar muhimligini ko‘rsatadi"
Mutaxassislar ishlab chiquvchilarga SDK’larni doimiy yangilab borishni, foydalanuvchilarga esa ilovalarni faqat ishonchli manbalardan yuklab olishni tavsiya qilmoqda.
