Microsoft, EngageLab SDK’da tespit edilen kritik güvenlik açığını duyurdu. 50 milyonu aşkın Android cihazı etkileyebilecek bu kusur, özel verilere yetkisiz erişime yol açabiliyor.
Yaygın olarak kullanılan üçüncü taraf bir Android yazılım geliştirme kiti (SDK) olan EngageLab SDK’da, Android güvenlik duvarını aşarak özel verilere yetkisiz erişim sağlayan ciddi bir güvenlik açığı tespit edildi. Microsoft Defender Güvenlik Araştırma Ekibi, bu kusurun 50 milyonu aşkın kurulumu etkileyebileceğini bildirdi.
Microsoft Defender ekibinin raporuna göre, EngageLab SDK’nın 4.5.4 sürümünde yer alan “niyet yönlendirme (intent redirection)” güvenlik açığı, aynı cihazdaki farklı uygulamaların Android’in korumalı alanını (sandbox) atlamasına imkan tanıyor. Bu durum, saldırganların hassas verilere ulaşmasına yol açabiliyor.
Bu SDK’yı kullanan uygulamaların önemli bir kısmı kripto para ve dijital cüzdan ekosistemine dahil. Etkilenen cüzdan uygulamalarının 30 milyondan fazla kurulumu bulunurken, cüzdan dışı uygulamalarla birlikte bu sayı 50 milyonu aşıyor. Microsoft, savunmasız sürümleri kullanan tüm uygulamaların Google Play Store’dan kaldırıldığını belirtti.
Güvenlik açığı, saldırganların kötü amaçlı bir uygulama aracılığıyla SDK’nın entegre olduğu uygulamaların dahili dizinlerine erişmesine olanak tanıyor. Bu durum, hassas bilgilere yetkisiz erişim riskini beraberinde getiriyor. Ancak, güvenlik açığının kötü niyetli bir şekilde kullanıldığına dair henüz bir kanıt bulunmuyor.
EngageLab, güvenlik açığını gidermek amacıyla Kasım 2025’te 5.2.1 sürümünü yayınladı. SDK’yı kullanan geliştiricilere, mümkün olan en kısa sürede en güncel sürüme geçmeleri tavsiye ediliyor. Bu durum, üçüncü taraf SDK’lardaki zayıflıkların dijital varlık yönetimi gibi kritik sektörlerde nasıl büyük ölçekli güvenlik sorunlarına yol açabileceğini bir kez daha gözler önüne seriyor.
Yorum Yap