Die von Microsoft entdeckte Schwachstelle in EngageLab’s EngageSDK basiert auf einer Intent-Redirection-Flaw in Android. Intent ist ein Konzept des Android-Betriebssystems, das die Kommunikation zwischen verschiedenen Anwendungen sowie zwischen Komponenten innerhalb einer Anwendung ermöglicht. Durch die Manipulation dieser Intents können Angreifer speziell präparierte Anfragen senden, die eine anfällige Anwendung dazu verleiten, die Sicherheitssandbox zu durchbrechen.
Besonders bemerkenswert ist die Reaktion auf die Entdeckung: Microsoft informierte EngageLab bereits im April 2025 über die Schwachstelle. Ein Monat später wurde auch das Android Security Team benachrichtigt, da die betroffenen Apps über Google Play vertrieben wurden. Dies zeigt ein verantwortungsvolles Disclosure-Verfahren, auch wenn die Lücke über ein Jahr lang existierte, bevor sie öffentlich bekannt wurde.
Google reagierte schnell: Alle entdeckten Krypto-Wallet-Apps mit anfälligen Versionen des SDK wurden aus dem Play Store entfernt. Das Android-Sicherheitsmodell mit seinen mehrschichtigen Schutzmaßnahmen bietet zusätzliche Mitigationen gegen die Ausnutzung solcher Intent-Schwachstellen. Microsoft teilte mit, dass in der Wildnis bislang keine Exploitationen dieser Lücke beobachtet wurden – eine Aussage, die beruhigt, aber nicht entwarnt.
EngageLab veröffentlichte einen Patch in der Version 5.2.1 im November 2025. Microsoft veröffentlichte nun die technischen Details und fordert Entwickler auf, ihre SDK-Versionen zu aktualisieren.
Für deutsche Finanzunternehmen und Kryptobörsen ist dies ein Weckruf. Die Abhängigkeit von Third-Party-SDKs in der mobilen Entwicklung ist universal, doch die Sicherheitsüberprüfung solcher Komponenten muss rigoroser erfolgen. Besonders im hochsensiblen Finanzbereich sollten Sicherheitsaudits und regelmäßige Updates zur Standardpraxis gehören. Nutzer sollten sicherstellen, dass ihre Krypto-Wallets auf dem neuesten Stand sind und nur aus vertrauenswürdigen Quellen stammen.