Een recent gepatchte kwetsbaarheid in de veelgebruikte EngageLab SDK voor Android heeft mogelijk de privacy van miljoenen gebruikers van cryptocurrency-wallets in gevaar gebracht. Volgens het Microsoft Defender Security Research Team konden apps op hetzelfde apparaat via deze kwetsbaarheid de Android-beveiligingssandbox omzeilen en ongeautoriseerd toegang krijgen tot privégegevens.

De EngageLab SDK biedt een pushnotificatiedienst die gepersonaliseerde meldingen verstuurt op basis van gebruikersgedrag. Veel apps die deze SDK gebruiken, behoren tot het ecosysteem van digitale wallets en cryptovaluta. De kwetsbare versies van de SDK stonden in meer dan 30 miljoen wallet-apps geïnstalleerd, en als ook niet-wallet apps worden meegerekend, gaat het om meer dan 50 miljoen installaties. Microsoft maakte de namen van de getroffen apps niet bekend, maar gaf aan dat alle apps met kwetsbare SDK-versies inmiddels uit de Google Play Store zijn verwijderd.

De kwetsbaarheid, geïntroduceerd in versie 4.5.4 van de SDK, betreft een intent redirection-zwakte. Hierbij kunnen intent-berichten, die in Android worden gebruikt om acties tussen app-componenten aan te vragen, worden gemanipuleerd om via een vertrouwde context ongeautoriseerde toegang te verkrijgen tot beschermde onderdelen of gevoelige data. Een kwaadwillende app op hetzelfde apparaat zou deze kwetsbaarheid kunnen misbruiken om interne mappen van een app met de SDK te benaderen en zo gevoelige informatie te stelen.

Er is geen bewijs dat deze kwetsbaarheid ooit daadwerkelijk is misbruikt. Na een verantwoordelijke melding in april 2025 bracht EngageLab in november 2025 versie 5.2.1 uit om het probleem te verhelpen. Ontwikkelaars worden dringend geadviseerd om zo snel mogelijk te updaten naar de nieuwste SDK-versie, aangezien zelfs kleine fouten in derdepartijbibliotheken grote gevolgen kunnen hebben en miljoenen apparaten kunnen treffen. Microsoft benadrukt dat zwakheden in externe SDK’s grote veiligheidsrisico’s kunnen veroorzaken, vooral in sectoren met digitale waarde zoals cryptobeheer, en waarschuwt voor de risico’s van ondoorzichtige supply chains en ongevalideerde vertrouwensrelaties tussen apps.