Lỗ hổng nghiêm trọng được phát hiện trong Bộ Phát Triển Phần Mềm (SDK) Android của bên thứ ba được sử dụng bởi một số ứng dụng ví tiền điện tử. Phát hiện này được tiết lộ bởi Nhóm Nghiên Cứu Bảo Mật Microsoft Defender.

Trong báo cáo chính thức của mình, lỗ hổng này ảnh hưởng đến hơn 30 triệu lượt cài đặt ứng dụng ví tiền điện tử, với tổng số lượng bị ảnh hưởng vượt quá 50 triệu lượt cài đặt ứng dụng. Hệ sinh thái ví kỹ thuật số trở thành nhóm dễ bị tổn thương nhất vì lưu trữ tài sản cũng như dữ liệu người dùng.

Nếu bị khai thác, lỗ hổng này có thể mở ra khả năng truy cập thông tin Nhận dạng Cá nhân (PII), thông tin xác thực người dùng, đến dữ liệu tài chính nhạy cảm được lưu trữ trong thư mục cá nhân của ứng dụng.

Vấn đề này bắt nguồn từ thành phần trong EngageLab SDK có tên MTCommonActivity, tự động được thêm vào trong quá trình xây dựng ứng dụng. Vì thành phần này có thể được truy cập bởi các ứng dụng khác trên cùng một thiết bị, lỗ hổng bảo mật đã xuất hiện.

Hậu quả là, phần mềm độc hại có thể gửi lệnh giả (intent) để yêu cầu ứng dụng ví xử lý với quyền tin cậy. Tuy nhiên, Microsoft cho biết chưa có bằng chứng cho thấy lỗ hổng này đã bị khai thác một cách tích cực.
#GateLaunchesPreIPOS
#GateSquareAprilPostingChallenge