Microsoft security-onderzoekers hebben een ernstige kwetsbaarheid ontdekt in een veelgebruikte Android SDK die wordt ingezet in cryptocurrency wallet-applicaties. De kwetsbaarheid bevindt zich in EngageLab’s EngageSDK, een softwarebibliotheek die bedoeld is voor het beheer van messaging en pushmeldingen binnen mobiele apps. Deze SDK wordt door ontwikkelaars als afhankelijkheid geïntegreerd in Android-apps en wordt gebruikt door crypto-wallet apps met meer dan 30 miljoen installaties wereldwijd.

De kwetsbaarheid betreft een probleem met Android intents, de mechanismen waarmee applicaties met elkaar communiceren en gegevens delen binnen dezelfde app. Microsoft ontdekte een intent-omleidingsfout die een aanvaller in staat stelt om de inhoud van een intent te manipuleren. Hierdoor kan een kwaadaardige app op het apparaat van het slachtoffer speciaal opgezette intents versturen, waarmee de kwetsbare app wordt misbruikt om de beveiligingssandbox van Android te omzeilen. Dit kan leiden tot toegang tot gevoelige informatie zoals persoonlijke gegevens, gebruikerscredentials en financiële data.

Microsoft heeft EngageLab in april 2025 op de hoogte gebracht van de kwetsbaarheid. De Android Security Team werd de maand daarop geïnformeerd vanwege de impact op apps die via Google Play worden verspreid. Hoewel de kwetsbaarheid is geïntroduceerd door een derde partij SDK, benadrukt Microsoft dat het gelaagde beveiligingsmodel van Android extra mitigaties biedt tegen misbruik van intent-gerelateerde kwetsbaarheden. Alle gedetecteerde crypto-wallet apps die de kwetsbare SDK-versies gebruikten, zijn inmiddels verwijderd uit Google Play. Daarnaast zouden de door Android geïmplementeerde mitigaties gebruikers moeten beschermen die de getroffen apps al hadden geïnstalleerd.

EngageLab bracht begin november 2025 een patch uit in versie 5.2.1 van de EngageSDK. Microsoft heeft de technische details nu openbaar gemaakt en dringt er bij ontwikkelaars op aan om de nieuwste SDK-versie te gebruiken. Tot op heden is er geen bewijs gevonden dat de kwetsbaarheid in het wild is misbruikt.