Im Zentrum der Schwachstelle steht ein Fehler bei der Weiterleitung von Android-Intents. Die Microsoft-Forscher identifizierten eine sogenannte Intent-Redirection-Lücke, über die sich der Inhalt eines von einer anfälligen App gesendeten Intents manipulieren lässt.
Konkret kann ein Angreifer eine bösartige App auf dem Zielgerät einsetzen, um speziell präparierte Intents zu versenden. Diese nutzen die verwundbare Anwendung aus, um die Sicherheits-Sandbox von Android zu umgehen und auf sensible Daten zuzugreifen – etwa persönliche Informationen, Anmeldedaten und Finanzdaten.
Microsoft informierte die Entwickler von EngageLab im April 2025 über die Schwachstelle. Da auch über Google Play verteilte Apps betroffen waren, wurde im Folgemonat zusätzlich das Android-Sicherheitsteam benachrichtigt.
„Auch wenn diese Schwachstelle durch ein Drittanbieter-SDK eingeführt wurde, ist das bestehende, mehrschichtige Sicherheitsmodell von Android in der Lage, zusätzliche Schutzmaßnahmen gegen die Ausnutzung von Intent-Schwachstellen bereitzustellen", erklärte Microsoft. Alle erkannten Krypto-Wallet-Apps mit anfälligen SDK-Versionen seien aus Google Play entfernt worden. Zudem sollen die von Android umgesetzten Schutzmaßnahmen jene Nutzer absichern, die eine betroffene App zuvor heruntergeladen hatten.
EngageLab veröffentlichte Anfang November 2025 mit Version 5.2.1 einen Patch. Microsoft hat die technischen Details nun öffentlich gemacht und ruft Entwickler dazu auf, sicherzustellen, dass sie die aktuelle Version des SDK einsetzen. Hinweise auf eine Ausnutzung der Lücke in freier Wildbahn fand das Unternehmen nicht.
