Die Lücke wurde in Version 4.5.4 des EngageLab-SDK identifiziert und als sogenannte Intent-Redirection-Schwachstelle eingestuft. Intents sind in Android Nachrichtenobjekte, mit denen eine App-Komponente eine Aktion bei einer anderen anfordert.
Von einer Intent-Redirection spricht man, wenn der Inhalt eines solchen Intents, den eine verwundbare App versendet, manipuliert wird. Angreifer nutzen dabei den vertrauenswürdigen Kontext der App aus – also deren Berechtigungen –, um unbefugt auf geschützte Komponenten zuzugreifen, sensible Daten offenzulegen oder ihre Rechte innerhalb der Android-Umgebung auszuweiten.
Konkret ließe sich der Fehler über eine bösartige App ausnutzen, die auf anderem Weg auf das Gerät gelangt ist. Diese könnte auf interne Verzeichnisse einer App zugreifen, die das SDK eingebunden hat, und so an sensible Daten gelangen.
EngageLab beschreibt seinen Dienst als Push-Benachrichtigungslösung, die nach eigenen Angaben „zeitnahe Benachrichtigungen“ auf Basis des bereits von Entwicklern erfassten Nutzerverhaltens ausliefert und auf Echtzeit-Interaktion zielt.
Nach einer verantwortungsvollen Offenlegung im April 2025 veröffentlichte EngageLab im November 2025 die Version 5.2.1, die die Schwachstelle behebt. Für eine bösartige Ausnutzung gibt es nach Angaben von Microsoft keine Belege. Dennoch sollten Entwickler, die das SDK einsetzen, möglichst rasch auf die aktuelle Version aktualisieren, zumal selbst geringfügige Fehler in vorgelagerten Bibliotheken Kaskadeneffekte auslösen und Millionen Geräte betreffen können.
Microsoft ordnet den Fall in einen größeren Zusammenhang ein: Er zeige, wie Schwächen in Drittanbieter-SDKs großflächige Sicherheitsfolgen haben könnten, gerade in besonders sensiblen Bereichen wie der Verwaltung digitaler Vermögenswerte. Apps stützten sich zunehmend auf solche SDKs und schüfen damit umfangreiche und oft undurchsichtige Abhängigkeiten in der Lieferkette. Diese Risiken stiegen, wenn Integrationen exportierte Komponenten offenlegten oder auf Vertrauensannahmen beruhten, die über App-Grenzen hinweg nicht überprüft würden.
