商傳媒|方承業/綜合外電報導
資安巨擘微軟(Microsoft)近期揭露一項存在於部分Android應用程式中的原生漏洞,該漏洞涉及EngageLab開發套件(SDK)的特定版本,恐導致數千萬個加密貨幣錢包的憑證外洩,引發資產安全疑慮。
微軟Defender安全研究團隊於2025年4月發現此一漏洞。據《Coinpedia Fintech News》報導,該漏洞被稱為「意圖重定向」(intent redirection),能夠繞過Android系統的沙盒安全機制,使惡意應用程式得以監控用戶活動,並將敏感資訊傳送給駭客。攻擊者會誘騙用戶安裝惡意程式,這些程式再利用EngageLab SDK的4.5.4版本漏洞,損害其他接收訊息的應用程式,進而取得讀寫個人資訊的權限,包括加密錢包的助記詞和錢包地址。
這項漏洞影響範圍廣泛,估計導致超過5,000萬個應用程式受害,其中包含逾3,000萬個加密貨幣錢包安裝受到波及。為解決此一重大安全問題,微軟、Google與Android安全團隊已於2025年5月聯手合作,促使EngageLab發布了5.2.1版修補後的SDK。
資安專家建議所有Android用戶應立即採取防護措施,確保應用程式已更新至最新版本,並利用Google Play Protect進行驗證。同時,用戶應避免從非官方網站下載APK檔案,而應優先從Google Play商店取得應用程式。此外,對於自2025年中旬以來未曾更新過應用程式的加密貨幣錢包用戶,強烈建議將現有錢包內的資產轉移至全新的錢包地址,並重新產生新的助記詞,以確保資產安全。
