Han surgido detalles sobre una vulnerabilidad de seguridad ahora parcheada en un kit de desarrollo de software (SDK) de Android de terceros ampliamente utilizado llamado EngageLab SDK que podría haber puesto en riesgo a millones de usuarios de billeteras de criptomonedas.
“Esta falla permite que las aplicaciones en el mismo dispositivo eviten la zona de pruebas de seguridad de Android y obtengan acceso no autorizado a datos privados”, dijo el equipo de investigación de seguridad de Microsoft Defender en un informe publicado hoy.
EngageLab SDK ofrece un servicio de notificaciones push que, según su sitio web, está diseñado para entregar “notificaciones oportunas” basadas en el comportamiento del usuario ya rastreado por los desarrolladores. Una vez integrado en una aplicación, el SDK ofrece una forma de enviar notificaciones personalizadas e impulsar la interacción en tiempo real.
El gigante tecnológico dijo que una cantidad significativa de aplicaciones que utilizan el SDK son parte del ecosistema de criptomonedas y billeteras digitales, y que las aplicaciones de billetera afectadas representaron más de 30 millones de instalaciones. Cuando se incluyen aplicaciones que no son de billetera creadas con el mismo SDK, el recuento de instalaciones supera los 50 millones.
Microsoft no reveló los nombres de las aplicaciones, pero señaló que todas las aplicaciones detectadas que utilizan versiones vulnerables del SDK se eliminaron de Google Play Store. Tras la divulgación responsable en abril de 2025, EngageLab lanzó la versión 5.2.1 en noviembre de 2025 para abordar la vulnerabilidad.
El problema, identificado en la versión 4.5.4, se ha descrito como una vulnerabilidad de redirección de intención. Las intenciones en Android se refieren a objetos de mensajería que se utilizan para solicitar una acción de otro componente de la aplicación.
La redirección de intención ocurre cuando el contenido de una intención que envía una aplicación vulnerable se manipula aprovechando su contexto confiable (es decir, permisos) para obtener acceso no autorizado a componentes protegidos, exponer datos confidenciales o escalar privilegios dentro del entorno de Android.
Un atacante podría aprovechar esta vulnerabilidad mediante una aplicación maliciosa instalada en el dispositivo a través de algún otro medio para acceder a directorios internos asociados con una aplicación que tenga el SDK integrado, lo que resultaría en un acceso no autorizado a datos confidenciales.
No hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en un contexto malicioso. Dicho esto, se recomienda a los desarrolladores que integran el SDK que actualicen a la última versión lo antes posible, especialmente teniendo en cuenta que incluso las fallas triviales en las bibliotecas ascendentes pueden tener impactos en cascada y afectar a millones de dispositivos.
“Este caso muestra cómo las debilidades de los SDK de terceros pueden tener implicaciones de seguridad a gran escala, especialmente en sectores de alto valor como la gestión de activos digitales”, dijo Microsoft. “Las aplicaciones dependen cada vez más de SDK de terceros, lo que crea dependencias grandes y a menudo opacas en la cadena de suministro. Estos riesgos aumentan cuando las integraciones exponen componentes exportados o se basan en suposiciones de confianza que no se validan a través de los límites de las aplicaciones”.
