Kerentanan serius ditemukan pada Software Development Kit (SDK) Android pihak ketiga yang digunakan sejumlah aplikasi dompet crypto. Temuan ini diungkap oleh Microsoft Defender Security Research Team.

Dalam laporan resminya, celah ini berdampak pada lebih dari 30 juta instalasi aplikasi dompet crypto, dengan total paparan mencapai lebih dari 50 juta instalasi aplikasi. Ekosistem dompet digital menjadi yang paling berisiko karena menyimpan aset serta data pengguna.

Jika dimanfaatkan, kerentanan ini dapat membuka akses ke Informasi Identitas Pribadi (PII), kredensial pengguna, hingga data keuangan sensitif yang tersimpan di direktori pribadi aplikasi.

Masalah ini berasal dari komponen di EngageLab SDK bernama MTCommonActivity yang otomatis ditambahkan saat proses build aplikasi. Karena komponen tersebut dapat diakses oleh aplikasi lain di perangkat yang sama, celah keamanan pun muncul.

Akibatnya, aplikasi berbahaya dapat mengirim perintah palsu (intent) agar aplikasi dompet memprosesnya dengan izin terpercaya. Meski begitu, Microsoft menyatakan belum ada bukti kerentanan ini telah dieksploitasi secara aktif.
#GateLaunchesPreIPOS
#GateSquareAprilPostingChallenge