Platform keamanan blockchain GoPlus merilis peringatan darurat pada 10 April, yang menyatakan bahwa terdapat kerentanan keamanan serius pada EngageLab SDK yang banyak digunakan untuk notifikasi push di Android. Kerentanan ini berdampak pada lebih dari 50 juta pengguna Android, di antaranya sekitar 30 juta adalah pengguna dompet mata uang kripto. Penyerang dapat memasang malware yang menyamar sebagai aplikasi yang sah pada perangkat korban, untuk mencuri kunci privat dompet kripto dan kredensial login.
Prinsip teknis kerentanan: rantai serangan lintas aplikasi yang dieksekusi secara senyap
(Sumber: GoPlus)
Cacat utama kerentanan ini adalah bahwa EngageLab SDK tidak melakukan verifikasi sumber yang memadai terhadap mekanisme komunikasi Intent di Android. Intent adalah mekanisme yang sah untuk saling bertukar perintah antar aplikasi di Android, namun implementasi EngageLab SDK memungkinkan perintah dari sumber yang tidak diotorisasi untuk melewati proses verifikasi normal, sehingga memicu aplikasi target menjalankan operasi sensitif.
Tiga langkah lengkap rantai serangan
Sisipan aplikasi berbahaya: Penyerang menyamarkan malware sebagai App yang sah, sehingga mendorong korban untuk menginstalnya pada perangkat Android yang sama
Suntikan Intent berbahaya: Aplikasi berbahaya mengirimkan Intent berbahaya yang dirancang dengan cermat kepada dompet kripto atau aplikasi keuangan yang telah mengintegrasikan EngageLab SDK pada perangkat yang sama
Eksekusi operasi tanpa izin (eskalasi hak): Setelah aplikasi target menerima Intent, aplikasi tersebut menjalankan operasi yang tidak diotorisasi tanpa sepengetahuan pengguna, termasuk pencurian kunci privat dompet, kredensial login, dan data sensitif lainnya
Bahaya terbesar dari rantai serangan ini terletak pada sifatnya yang senyap: korban tidak perlu melakukan tindakan apa pun. Selama perangkat memiliki aplikasi berbahaya dan aplikasi yang berisi versi EngageLab SDK yang rentan, serangan dapat diselesaikan di latar belakang.
Skala dampak: risiko kerugian aset yang tidak dapat dipulihkan bagi pengguna kripto
Karena EngageLab SDK adalah komponen dasar notifikasi push yang digunakan secara luas dan diintegrasikan ke dalam ribuan aplikasi Android, cakupan dampak kerentanan ini mencapai skala 50 juta perangkat. Di antaranya, sekitar 30 juta adalah pengguna dompet mata uang kripto.
Begitu kunci privat dompet kripto bocor, penyerang dapat sepenuhnya mengendalikan aset on-chain korban. Selain itu, sifat transaksi blockchain yang tidak dapat diubah berarti kerugian seperti ini hampir tidak mungkin dipulihkan, sehingga tingkat risikonya jauh melampaui insiden kebocoran data aplikasi pada umumnya.
Langkah penanganan darurat: daftar tindakan segera untuk pengembang dan pengguna
Rekomendasi keamanan per kelompok
- Pengembang dan vendor aplikasi
· Segera verifikasi apakah produk mengintegrasikan EngageLab SDK, dan pastikan versi saat ini lebih rendah dari 4.5.5
· Tingkatkan ke EngageLab SDK 4.5.5 atau versi perbaikan resmi yang lebih tinggi (silakan lihat dokumen resmi EngageLab)
· Rilis ulang versi yang sudah diperbarui, dan beri tahu pengguna agar segera menyelesaikan pembaruan
- Pengguna Android biasa
· Segera buka Google Play untuk memperbarui semua aplikasi, dengan prioritas menangani aplikasi dompet kripto dan aplikasi keuangan
· Tetap waspada terhadap aplikasi yang diunduh dari sumber yang tidak jelas atau jalur yang tidak resmi; hapus segera jika perlu
· Jika Anda mencurigai kunci privat sudah bocor, buat dompet baru di perangkat yang aman, pindahkan aset, dan nonaktifkan alamat lama secara permanen
Pertanyaan yang sering diajukan
Apa itu EngageLab SDK, dan mengapa diintegrasikan secara luas dalam dompet kripto?
EngageLab SDK adalah paket perangkat lunak pihak ketiga yang menyediakan fungsi notifikasi push untuk Android. Karena kemudahan saat di-deploy, banyak aplikasi mengadopsinya. Notifikasi push hampir merupakan fitur standar untuk semua aplikasi seluler, sehingga EngageLab SDK juga banyak ditemukan di dompet kripto dan aplikasi keuangan, yang pada akhirnya menyebabkan dampak kerentanan ini mencapai skala 50 juta pengguna.
Bagaimana cara memastikan apakah perangkat saya terdampak oleh kerentanan ini?
Jika perangkat Android Anda menginstal dompet kripto atau aplikasi keuangan, dan belum diperbarui ke versi terbaru, maka ada risiko terdampak. Disarankan untuk segera memperbarui semua aplikasi di Google Play Store. Pengembang dapat memverifikasi nomor versi SDK di dalam aplikasi untuk memastikan apakah mereka menggunakan EngageLab SDK versi yang lebih rendah dari 4.5.5.
Jika kunci privat sudah bocor, apa penanganan darurat yang harus dilakukan?
Segera buat alamat dompet baru di perangkat aman yang tidak terinfeksi, pindahkan semua aset dompet lama ke alamat baru tersebut, dan nonaktifkan alamat lama secara permanen. Lakukan perubahan serentak pada semua kata sandi login di platform terkait, dan aktifkan verifikasi dua langkah untuk akun guna menurunkan risiko terjadinya kompromi lebih lanjut.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
FBI bekerja sama dengan Indonesia untuk membongkar jaringan phishing W3LL, nilai yang terlibat lebih dari 20 juta dolar AS
FBI AS dan kepolisian Indonesia bekerja sama dan berhasil menggagalkan jaringan phishing W3LL, menyita peralatan terkait, serta menangkap tersangka. Paket alat phishing W3LL ditawarkan dengan harga rendah untuk halaman login palsu, menggunakan serangan man-in-the-middle untuk dengan mudah melewati verifikasi multi-faktor, sehingga membentuk ekosistem kejahatan siber yang terorganisasi. Aksi ini menandai kerja sama AS dan Indonesia dalam penegakan hukum terhadap kejahatan siber, namun ancaman keamanan bagi pengguna mata uang kripto tetap sangat serius.
MarketWhisper3jam yang lalu
Peringatan Darurat Squads: Pemalsuan akun multisig yang menyuntikkan alamat, mekanisme daftar putih akan segera diluncurkan
Peringatan dari protokol multi-tanda tangan (multisig) di ekosistem Solana, Squads, menyebutkan bahwa penyerang melakukan serangan address poisoning terhadap pengguna dengan memancing pengguna agar melakukan transfer yang tidak semestinya melalui pemalsuan akun. Squads mengonfirmasi bahwa tidak ada kerugian dana, dan menegaskan bahwa ini merupakan serangan social engineering, bukan celah pada protokol. Untuk mengatasinya, Squads telah menerapkan langkah perlindungan seperti sistem peringatan, prompt untuk akun yang tidak berinteraksi, dan mekanisme daftar putih. Kejadian ini mencerminkan meningkatnya ancaman social engineering di ekosistem Solana, serta memicu tinjauan keamanan yang berkelanjutan.
MarketWhisper3jam yang lalu
Organisasi “perantara pembalasan” Korea menerima pembayaran USDT untuk menangani kejahatan kekerasan, dan meskipun pemimpin utamanya ditangkap, tetap terus beroperasi
Korea Selatan baru-baru ini muncul beberapa lembaga “perantara balas dendam” yang menggunakan mata uang kripto sebagai alat pembayaran, dan mereka menyediakan layanan teror dan pembunuhan melalui Telegram. Meski pelaku utama telah ditangkap, iklan terkait masih terus dipublikasikan; penyidik polisi menyelidiki lebih dari 50 kasus dan menangkap sekitar 30 orang.
GateNews5jam yang lalu
Aplikasi Ledger Palsu di App Store Apple Menguras Dana Pensiun 5,9 BTC Musisi
Sebuah aplikasi Ledger palsu di App Store milik Apple menipu musisi Garrett Dutton hingga kehilangan 5.9 BTC dengan cara memasukkan frasa seed miliknya. Kasus ini menyoroti penipuan dompet yang terus berlanjut dan pemanfaatan kepercayaan, karena bitcoin yang dicuri dicuci melalui KuCoin.
CryptoNewsFlash9jam yang lalu
Sebuah CEX dirampas namun tidak berkompromi: berdampak pada sekitar 2000 akun, dana pelanggan tidak terancam
Sebuah bursa perdagangan kripto diserang oleh kelompok kriminal yang memeras, dengan mengklaim bahwa mereka akan mempublikasikan video akses ke sistem internal. Bursa tersebut mengonfirmasi bahwa tidak terjadi kompromi sistematis, dana pelanggan aman, namun sekitar 2000 data akun diakses akibat perilaku yang tidak pantas dari petugas layanan pelanggan; akses terkait telah dihentikan dan kontrol keamanan diperkuat. Perusahaan sedang bekerja sama dengan aparat penegak hukum untuk menyelidiki kasus ini.
GateNews13jam yang lalu
Solana rekan pendiri toly: seharusnya membangun stablecoin lapisan dasar yang hanya dapat membekukan dengan izin pengadilan.
Pendiri Solana toly menyoroti bahwa industri membutuhkan stablecoin yang hanya dapat dibekukan berdasarkan perintah pengadilan, menentang faktor pembekuan lainnya. Ia menyarankan agar protokol menerbitkan stablecoin dengan strategi pembekuan yang dapat disesuaikan pada lapisan dasar, serta memperkuat langkah-langkah keamanan. Pandangan ini berasal dari respons terbaru Circle terhadap insiden peretasan pada protokol Drift, yang memicu diskusi tentang stablecoin terpusat.
GateNews13jam yang lalu
