Платформа безопасности блокчейна GoPlus 10 апреля выпустила срочное предупреждение: в EngageLab SDK, широко используемом для Android push-уведомлений, обнаружена критическая уязвимость. Она затрагивает более 50,000,000 пользователей Android, из которых около 30,000,000 — пользователи криптовалютных кошельков. Злоумышленники могут развернуть на устройствах жертв вредоносное ПО, выдающее себя за легитимные приложения, чтобы похищать приватные ключи криптокошельков и учетные данные для входа.
Технический принцип уязвимости: цепочка атак между приложениями с бесшумным выполнением
(Источник:GoPlus)
Ключевой дефект этой уязвимости заключается в том, что EngageLab SDK при обработке механизма обмена Intent-сообщениями в Android не проводит достаточную проверку источника. Intent — это легитимный механизм передачи команд между приложениями Android, однако реализация EngageLab SDK позволяет неавторизованным источникам обходить обычные процедуры проверки и инициировать выполнение целевым приложением чувствительных операций.
Полная цепочка атаки из трех шагов
Внедрение вредоносного приложения: злоумышленник маскирует вредоносное ПО под легитимное App и побуждает жертву установить его на том же Android-устройстве.
Инъекция вредоносного Intent: вредоносное App отправляет на том же устройстве интегрированным в систему криптокошелькам или финансовым приложениям специально сформированные вредоносные Intent-сообщения.
Выполнение действий с превышением полномочий: после получения Intent целевое приложение выполняет неавторизованные действия без ведома пользователя, включая кражу приватных ключей кошельков, учетных данных для входа и других чувствительных данных.
Наибольшая опасность этой цепочки атаки состоит в ее незаметности: жертве не требуется никаких активных действий. Достаточно, чтобы на устройстве одновременно присутствовали вредоносное приложение и приложение с уязвимой версией EngageLab SDK — и атака может завершиться в фоновом режиме.
Масштаб последствий: пользователи криптовалют сталкиваются с риском необратимой потери активов
EngageLab SDK как широко развернутый базовый компонент push-уведомлений встроен в тысячи Android-приложений, из-за чего масштаб воздействия достиг 50,000,000 устройств. Среди них пользователи криптовалютных кошельков — около 30,000,000.
Как только приватный ключ криптокошелька утечет, злоумышленник получает полный контроль над ончейн-активами жертвы. А поскольку транзакции в блокчейне имеют необратимый характер, такие потери практически невозможно вернуть; степень риска значительно выше, чем при обычных инцидентах с утечкой данных в приложениях.
Срочные меры реагирования: немедленный чек-лист действий для разработчиков и пользователей
Рекомендации по обеспечению безопасности с разбиением по группам
- Разработчики и производители приложений
· Немедленно проверьте, интегрирован ли в продукт EngageLab SDK, и убедитесь, что текущая версия ниже 4.5.5
· Обновитесь до EngageLab SDK 4.5.5 или более новой официальной исправленной версии (см. официальную документацию EngageLab)
· Переиздайте обновленную версию и сообщите пользователям, чтобы они как можно скорее завершили обновление
- Обычные пользователи Android
· Немедленно перейдите в Google Play и обновите все приложения, в первую очередь — криптовалютные кошельки и финансовые приложения
· Проявляйте настороженность к приложениям из неизвестных источников или неофициальных каналов загрузки; при необходимости немедленно удаляйте
· Если вы подозреваете, что приватный ключ уже утек, следует немедленно создать новый кошелек на безопасном устройстве, перенести активы и навсегда отключить старый адрес
Частые вопросы
Что такое EngageLab SDK и почему он широко интегрирован в криптовалютные кошельки?
EngageLab SDK — это сторонний программный пакет, предоставляющий функцию Android push-уведомлений. Благодаря простоте развертывания его используют многие приложения. Push-уведомления — практически стандартная функция для всех мобильных приложений, поэтому EngageLab SDK широко присутствует в криптовалютных кошельках и финансовых приложениях, что и привело к масштабу воздействия в 50,000,000 пользователей.
Как проверить, затронуто ли мое устройство этой уязвимостью?
Если на вашем Android-устройстве установлены криптовалютный кошелек или финансовое приложение и оно еще не обновлено до последней версии, существует риск быть затронутым. Рекомендуется немедленно обновить все приложения в магазине Google Play. Разработчики могут подтвердить, используют ли они EngageLab SDK версий ниже 4.5.5, проверив номер версии SDK внутри приложения.
Если приватный ключ уже утек, как действовать срочно?
Немедленно создайте новый адрес кошелька на незараженном безопасном устройстве, перенесите все активы исходного кошелька на новый адрес и навсегда отключите исходный адрес. Одновременно измените пароли входа на всех соответствующих платформах и включите двухфакторную аутентификацию для аккаунта, чтобы снизить риск дальнейших взломов.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Подробности Chainalysis о разоблачении «теневой криптоэкономики» по мере того, как Grinex приостанавливает работу
Отключение Grinex усиливает внимание к тактикам отмывания криптовалюты, поскольку перемещения средств указывают на поведение, не соответствующее типичным действиям правоохранительных органов. Анализ Chainalysis выделяет модели, которые вызывают вопросы о том, соответствует ли эта активность обычному внешнему взлому или
Coinpedia13м назад
Rhea Finance подвергся атаке со стороны Oracle, потери составили 18,40 млн долларов: ZachXBT предупредил, Tether заморозил 4,34 млн USDT; злоумышленник вернул часть средств
Rhea Finance подверглась атаке с манипуляцией оракулом на NEAR Protocol, в результате потери составили 18,40 млн долларов, что вдвое больше первоначальной оценки. Атакующий управлял котировками фальшивых токенов, из-за чего была неверно оценена стоимость залогового обеспечения. Tether заморозил около 4,34 млн USDT, а злоумышленник вернул порядка 3,50 млн долларов; на данный момент удалось вернуть более 7,80 млн долларов, что подчеркивает важность безопасности оракулов.
ChainNewsAbmedia8ч назад
DNS eth.limo подвергся атаке: Виталик призывает пользователей сделать паузу и перейти на IPFS
Виталик Бутерин предупредил 18 апреля о атаке на DNS-регистратор для eth.limo, призвав пользователей избегать доступа к vitalik.eth.limo и связанным страницам. Он рекомендовал использовать IPFS в качестве альтернативы, пока проблема не будет устранена.
GateNews8ч назад
Санкционированная биржа Grinex подверглась хакерской атаке на $13,7 млн; обвиняет иностранные разведывательные службы
Grinex, санкционированная биржа крипто-рубля, прекратила работу из-за кибератаки, в ходе которой было похищено более $13.74 миллиона в USDT. Считается, что атака связана с субъектами на уровне государства, которые стремятся дестабилизировать финансовую систему России. Grinex сотрудничает с правоохранительными органами, но не располагает графиком возобновления услуг.
Coinpedia17ч назад
Figure сталкивается с обвинениями от шорт-селлера из-за заявлений о блокчейн-интеграции; акции FIGR упали на 53% с пика января
Финтех-компания Figure Technology Solutions столкнулась с обвинениями со стороны Morpheus Research в том, что она преувеличивает использование своей блокчейн-технологии, что привело к значительному падению котировок акций. Figure защитила свою деятельность, подчеркнув функции в сфере цифровых активов и сильные показатели эффективности.
GateNews23ч назад
Мошенник с криптовалютой из Хьюстона приговорен к 23 годам за схему с $20M Meta-1 Coin
Роберт Данлап, предприниматель из Хьюстона, был приговорен к 23 годам тюремного заключения за $20 миллионное криптомошенничество с участием поддельных активов и обманных практик, которое затронуло более 1,000 жертв. Его дело отражает более широкое распространение киберпреступлений, связанных с криптовалютами.
GateNews04-17 12:11
