Microsoft, milyonlarca Android kullanıcısını etkileyebilecek kritik bir güvenlik açığını duyurdu. EngageLab SDK’daki açık, özel verilere yetkisiz erişime yol açabiliyordu.
Yaygın olarak kullanılan bir üçüncü taraf Android yazılım geliştirme kitinde (SDK) tespit edilen ve artık yamalanmış bir güvenlik açığının detayları Microsoft tarafından açıklandı. Bu kusur, aynı cihazdaki uygulamaların Android güvenlik korumalı alanını atlayarak özel verilere yetkisiz erişim sağlamasına olanak tanıyordu.
Microsoft Defender Güvenlik Araştırma Ekibi tarafından yayınlanan rapora göre, EngageLab SDK’nın 4.5.4 sürümünde bir ‘niyet yönlendirme’ (intent redirection) güvenlik açığı belirlendi. Bu açık, saldırganların kötü amaçlı bir uygulama aracılığıyla SDK’nın entegre olduğu uygulamaların dahili dizinlerine erişmesine ve hassas verilere ulaşmasına imkan tanıyordu.
Söz konusu SDK, kripto para ve dijital cüzdan ekosistemindeki uygulamalarda yaygın olarak kullanılıyordu. Etkilenen cüzdan uygulamalarının 30 milyondan fazla, cüzdan dışı uygulamalarla birlikte ise toplamda 50 milyonu aşkın kurulumu bulunuyordu. Microsoft, savunmasız sürümleri kullanan tüm uygulamaların Google Play Store’dan kaldırıldığını belirtti.
EngageLab, güvenlik açığını gidermek amacıyla Kasım 2025’te 5.2.1 sürümünü yayınladı. Şu ana kadar güvenlik açığının kötü amaçlı bir bağlamda kullanıldığına dair bir kanıt bulunmuyor.
Microsoft, bu olayın üçüncü taraf SDK’lardaki zayıflıkların büyük ölçekli güvenlik etkilerine yol açabileceğini gösterdiğini vurguladı. Uygulamaların giderek artan şekilde üçüncü taraf SDK’lara güvenmesi, tedarik zinciri bağımlılıkları yaratarak riskleri artırabiliyor.
SDK’yı entegre eden geliştiricilerin, olası riskleri en aza indirmek için en kısa sürede en son sürüme güncellemeleri tavsiye ediliyor.
Yorum Yap