A plataforma de segurança blockchain GoPlus emitiu, a 10 de abril, um alerta de emergência, indicando que existe uma vulnerabilidade grave no SDK EngageLab utilizado amplamente para notificações push em dispositivos Android. A falha afeta mais de 50 milhões de utilizadores Android, dos quais cerca de 30 milhões são utilizadores de carteiras de criptomoedas. O atacante pode implementar, nos dispositivos das vítimas, um software malicioso disfarçado de uma aplicação legítima, para roubar as chaves privadas da carteira de criptomoedas e as credenciais de início de sessão.
Princípio técnico da vulnerabilidade: cadeia de ataque entre aplicações com execução silenciosa
(Fonte: GoPlus)
O defeito central desta vulnerabilidade reside no facto de o SDK EngageLab não realizar uma validação de origem suficientemente rigorosa ao tratar o mecanismo de comunicação por Intent do sistema Android. O Intent é um mecanismo legítimo para a troca de comandos entre aplicações Android, mas a implementação do SDK EngageLab permite que comandos provenientes de origens não autorizadas contornem os processos normais de validação, desencadeando a execução de operações sensíveis pela aplicação-alvo.
Cadeia de ataque completa em três passos
Inserção de aplicação maliciosa: o atacante disfarça o software malicioso como uma App legítima, levando a vítima a instalá-la no mesmo dispositivo Android
Injeção de Intent malicioso: a aplicação maliciosa envia, para uma carteira de criptomoedas ou aplicação financeira já integrada com o SDK EngageLab no mesmo dispositivo, um Intent malicioso cuidadosamente construído
Execução de operações com privilégios indevidos: após a aplicação-alvo receber o Intent, executa operações não autorizadas sem o conhecimento do utilizador, incluindo o roubo de chaves privadas da carteira, credenciais de início de sessão e outros dados sensíveis
O maior perigo desta cadeia de ataque está na sua natureza silenciosa: a vítima não precisa de fazer nada proactivamente; basta que, no dispositivo, coexistam uma aplicação maliciosa e uma aplicação que contenha a versão do SDK EngageLab com vulnerabilidade, para que o ataque seja concluído em segundo plano.
Dimensão do impacto: risco de perdas irreversíveis de ativos para utilizadores de cripto
Enquanto componente básico amplamente implantado para notificações push, o SDK EngageLab é integrado em milhares de aplicações Android, o que faz com que a área afetada atinja a escala de 50 milhões de dispositivos. Dentro desse universo, cerca de 30 milhões correspondem a utilizadores de carteiras de criptomoedas.
Se a chave privada da carteira de criptomoedas vazar, o atacante consegue controlar totalmente os ativos on-chain da vítima. Além disso, a característica de irreversibilidade das transações na blockchain significa que perdas deste tipo são praticamente impossíveis de recuperar, com um nível de risco muito superior ao de incidentes comuns de fuga de dados em aplicações normais.
Medidas de resposta urgente: lista de ações imediatas para programadores e utilizadores
Recomendações de segurança por grupos
- Programadores e fornecedores de aplicações
· Verificar imediatamente se o produto integra o SDK EngageLab e confirmar se a versão atual é inferior a 4.5.5
· Atualizar para o SDK EngageLab 4.5.5 ou para uma versão de correção oficial superior (consulte a documentação oficial do EngageLab)
· Republicar a versão atualizada e notificar os utilizadores para concluírem a atualização o mais rapidamente possível
- Utilizadores Android em geral
· Ir imediatamente ao Google Play para atualizar todas as aplicações, dando prioridade às aplicações de carteiras de criptomoedas e financeiras
· Manter-se atento a aplicações descarregadas a partir de fontes desconhecidas ou canais não oficiais e, se necessário, eliminá-las imediatamente
· Se suspeitar que a chave privada já foi exposta, deve criar imediatamente uma nova carteira num dispositivo seguro, transferir os ativos e desativar permanentemente o endereço antigo
Perguntas frequentes
O que é o SDK EngageLab e por que motivo é amplamente integrado em carteiras de criptomoedas?
O SDK EngageLab é um pacote de software de terceiros que fornece funcionalidades de notificações push para Android. Por ser fácil de implementar, é adotado por muitas aplicações. As notificações push são uma funcionalidade padrão em quase todas as aplicações móveis; por isso, o SDK EngageLab está amplamente presente em carteiras de criptomoedas e aplicações financeiras, o que, por sua vez, levou a que a escala do impacto desta vulnerabilidade chegasse a 50 milhões de utilizadores.
Como confirmar se o meu dispositivo é afetado por esta vulnerabilidade?
Se o seu dispositivo Android tiver instalada uma carteira de criptomoedas ou uma aplicação financeira e ainda não tiver sido atualizado para a versão mais recente, existe risco de ser afetado. Recomenda-se que atualize imediatamente todas as aplicações na Google Play Store. Os programadores podem verificar o número da versão do SDK dentro da aplicação para confirmar se está a utilizar uma versão do SDK EngageLab inferior a 4.5.5.
Se a chave privada já tiver vazado, como lidar de forma urgente?
Deve criar imediatamente um endereço de carteira totalmente novo num dispositivo seguro não infetado, transferir todos os ativos da carteira original para o novo endereço e desativar permanentemente o endereço original. Em simultâneo, altere as palavras-passe de início de sessão de todas as plataformas relacionadas e ative a autenticação de dois fatores para a conta, para reduzir o risco de novas invasões adicionais no futuro.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Um CEX foi alvo de um resgate sob coação sem cedência: afetou cerca de 2000 contas, não houve ameaça à segurança dos fundos dos clientes
Uma bolsa de criptomoedas foi extorquida por uma organização criminosa, que alega que irá divulgar vídeos de acesso aos sistemas internos. A bolsa confirmou que não houve uma intrusão sistémica, que os fundos dos clientes estão seguros; devido a condutas inadequadas por parte de colaboradores do serviço ao cliente, cerca de 2000 registos de dados de contas foram acedidos, as permissões relevantes foram terminadas e os controlos de segurança foram reforçados. A empresa está a colaborar com as autoridades policiais para investigar o caso.
GateNews3h atrás
O cofundador da Solana toly: deve ser criada uma stablecoin de camada base que só possa ser congelada com autorização do tribunal
Os cofundadores da Solana, toly, indicaram que a indústria precisa de uma stablecoin que só possa ser congelada sob ordem de um tribunal, opondo-se a outros factores de congelamento. Sugeriu que o protocolo emita, na camada base, stablecoins com estratégias de congelamento personalizadas e que reforçe as medidas de segurança. Esta opinião tem origem na resposta recente da Circle ao incidente de pirataria do protocolo Drift, o que levou a discussões sobre stablecoins centralizadas.
GateNews3h atrás
Atacante cunha 1B DOT, despeja por $237K ETH
Um incidente de segurança envolvendo a versão ERC-20 do Polkadot no Ethereum levantou preocupações, enfatizando os riscos de activos tokenizados e transversais a cadeias (cross-chain). Um atacante explorou uma falha para cunhar e descarregar 1 mil milhões de tokens DOT, provocando uma queda do mercado e destacando vulnerabilidades na gestão de contratos inteligentes.
Coinfomania6h atrás
A estrela da música G. Love perde 5,9 Bitcoin num esquema de App Store chocante
_O músico G. Love perde 5,9 BTC num golpe de uma aplicação Ledger falsa, levantando sérias preocupações sobre a segurança das criptomoedas e a consciencialização dos utilizadores em todo o mundo._
Um grande esquema de fraude em criptomoedas afetou Garrett Dutton, amplamente conhecido como G. Love. O cantor norte-americano perdeu 5,9 Bitcoin avaliados em quase 420.000. A perda ocorreu quando ele t
LiveBTCNews6h atrás
Aave mergulha numa crise de confiança: os prestadores de serviços abandonam em massa, «tecnologia, governação e controlo de risco» entram em colapso total
Autor: Jae, PANews
Em vez da pressão externa de um mercado em baixa, o Aave, por dentro, foi primeiro confrontado com um “cisne negro”.
O Aave, que há muito domina o trono das plataformas de empréstimo, está a atravessar a mais violenta convulsão do ecossistema desde a sua criação. Sem ataque de hackers, sem falhas de código; o que existe é apenas a perda de controlo do poder e a rutura de interesses.
Desde a saída decidida da sua estrutura técnica, BGD Labs, até ao rompimento público da iniciativa pioneira de governação, ACI (Aave Chan Initiative), passando pela declaração oficial de separação com o gestor de risco, Chaos Labs, está em curso um “grande êxodo” de prestadores de serviços.
A profundidade deste confronto vai muito além de um diferendo de cooperação; ele desencadeou isto:
区块客6h atrás
Polkadot sofre exploração de ponte, o atacante cunha 1B $DOT no Ethereum
A Polkadot enfrentou uma grande violação de segurança, em que um atacante cunhou 1B $DOT coins na Ethereum através de uma ponte de 3º por terceiro, drenando mais de $240,000 em $ETH. Este incidente realça vulnerabilidades contínuas na infraestrutura de cross-chain e o seu impacto na estabilidade do mercado.
BlockChainReporter7h atrás
