Microsoft, EngageLab SDK’daki kritik güvenlik açığını duyurdu. 50 milyonu aşkın Android uygulamasının etkilendiği bu kusur, özel verilere yetkisiz erişim riskini beraberinde getiriyor.
Yaygın olarak kullanılan EngageLab SDK adlı üçüncü taraf Android yazılım geliştirme kitinde (SDK) kritik bir güvenlik açığı tespit edildi. Microsoft Defender ekibinin raporuna göre, bu kusur aynı cihazdaki uygulamaların Android güvenlik korumalı alanını aşarak özel verilere yetkisiz erişim sağlamasına olanak tanıyor.
Microsoft, EngageLab SDK’yı kullanan uygulamaların önemli bir kısmının kripto para ve dijital cüzdan ekosisteminde yer aldığını belirtti. Etkilenen cüzdan uygulamalarının kurulum sayısı 30 milyonu aşarken, cüzdan dışı uygulamalarla birlikte bu sayı 50 milyonu geçiyor. Google Play Store, SDK’nın savunmasız sürümlerini kullanan tüm uygulamaları mağazadan kaldırdı.
EngageLab, güvenlik açığını gidermek için Kasım 2025’te 5.2.1 sürümünü yayınladı. Bu SDK’nın 4.5.4 sürümünde tespit edilen sorun, “niyet yönlendirme (intent redirection)” güvenlik açığı olarak tanımlandı. Android’de “niyetler (intents)”, farklı uygulama bileşenleri arasında eylem talepleri için kullanılan mesajlaşma nesneleridir.
Niyet yönlendirmesi, savunmasız bir uygulamanın gönderdiği niyetin içeriğinin manipüle edilmesiyle ortaya çıkıyor. Saldırganlar, kötü amaçlı bir uygulama aracılığıyla SDK’nın entegre olduğu uygulamaların dahili dizinlerine erişerek hassas verilere ulaşabiliyor. Güvenlik açığının kötü amaçlı kullanıldığına dair bir kanıt bulunmasa da, geliştiricilerin SDK’yı en kısa sürede güncellemeleri tavsiye ediliyor.
Microsoft, bu durumun üçüncü taraf SDK’lardaki zayıflıkların büyük ölçekli güvenlik etkilerine yol açabileceğini gösterdiğini vurguladı. Uygulamaların giderek artan oranda üçüncü taraf SDK’lara güvenmesi, şeffaf olmayan tedarik zinciri bağımlılıkları yaratarak riskleri artırıyor.
