GoPlus: Lỗ hổng nghiêm trọng Engagelab SDK đe dọa 30 triệu ví mã hóa

GoPlus cảnh báo lỗ hổng nghiêm trọng trong EngageLab SDK (Android) có thể bị khai thác để truy cập trái phép và đánh cắp khóa riêng cùng thông tin đăng nhập, ảnh hưởng hơn 50 triệu người dùng Android, trong đó khoảng 30 triệu là người dùng ví tiền điện tử.

Sự cố liên quan một SDK phổ biến dùng cho thông báo đẩy, nên có thể tác động diện rộng tới nhiều ứng dụng đã tích hợp thành phần này, đặc biệt là các ứng dụng ví tiền điện tử và tài chính.

GoPlus cho biết kẻ tấn công có thể cài một ứng dụng độc hại “ngụy trang” như ứng dụng hợp pháp trên thiết bị nạn nhân. Từ đó, ứng dụng độc hại gửi các Intent độc hại đến những ứng dụng khác có tích hợp EngageLab SDK.

Cơ chế này có thể dẫn tới hành vi vượt quyền truy cập (unauthorized access) và các hậu quả như đánh cắp khóa riêng, thông tin đăng nhập và dữ liệu nhạy cảm khác. Theo cảnh báo, phạm vi ảnh hưởng ước tính vượt 50 triệu người dùng Android, với khoảng 30 triệu người dùng thuộc nhóm ví tiền điện tử.

GoPlus khuyến nghị nhà phát triển và đơn vị phát hành ứng dụng nâng cấp EngageLab SDK lên phiên bản 4.5.5 trở lên để vá lỗi. Với người dùng phổ thông, GoPlus đề xuất cập nhật ngay các ứng dụng Android liên quan, ưu tiên ví tiền điện tử và ứng dụng tài chính.