Android漏洞使3000萬個加密錢包面臨攻擊：微軟分析師

一個修補程式已經推出近一年，但仍有數百萬的 Android 用戶可能仍在運行存在漏洞的加密錢包應用程式 — 使他們的資金和私鑰暴露於已知的安全漏洞之下。

微軟的 Defender 安全研究團隊上週公開了他們在2025年4月首次發現的漏洞細節。該漏洞存在於一個廣泛使用的軟體組件中，名為 EngageLab SDK，版本為 4.5.4。

由於該 SDK 被嵌入在數千個 Android 應用中，一個惡意應用就可能引發連鎖反應，影響遠超自身範圍。

攻擊方式

這種方法被稱為「意圖重定向」。攻擊者的應用會向任何運行有漏洞 SDK 版本的應用發送一條特製訊息。一旦該訊息到達，目標應用就會被欺騙，授予其讀取和寫入自身資料的權限 — 包括存儲的種子短語和錢包地址。

Android 內建的沙箱系統，通常用來阻止應用之間存取彼此資料，完全被繞過。根據微軟的說法，這次攻擊影響了超過五千萬個 Android 應用，其中約三千萬是加密錢包。

這個漏洞不需要用戶做任何錯誤操作。沒有可疑的連結，也沒有釣魚頁面。只要同時安裝了有漏洞的應用就足夠了。

微軟與 Google 的回應

微軟在發現此漏洞後迅速行動。到2025年5月，該公司已將 Google 和 Android 安全團隊納入應對行動中。EngageLab 也在不久後推出了修正版本 — SDK 5.2.1。

報告指出，微軟和 Google 之後都已指導用戶如何透過 Google Play Protect 驗證其錢包應用是否已更新。

官員們還指出一個更廣泛的問題：從 Play 商店外部安裝的 APK 檔案應用風險較高，因為它們繞過了 Google 對於官方市場中列出應用的安全檢查。

用戶現在應該怎麼做

對於大多數定期更新應用的用戶來說，風險可能已經過去。但對於自2025年中旬以來未更新的用戶，建議的措施不僅僅是簡單的應用程式刷新。

安全團隊建議這些用戶將資金轉移到全新生成的錢包中，並使用全新的種子短語。任何在漏洞曝光期間活躍且未修補的錢包，都應被視為可能已被攻擊。

此披露同時伴隨著上個月被揭露的另一個 Android 晶片漏洞，以及美國財政部推出的一項新計畫，該計畫將政府機構與加密公司合作，共享網路安全威脅資訊 — 顯示在加密領域的行動安全正受到最高層的關注。

特色圖片來自 Bleeping Computer，圖表來自 TradingView