Android ekosistemini sarsan kritik bir güvenlik açığı gündeme geldi. Microsoft güvenlik araştırmacılarının tespit ettiği EngageLab SDK zafiyeti, dünya genelinde 50 milyondan fazla kullanıcıyı potansiyel tehdit altına soktu. Açığın özellikle kripto para cüzdanı uygulamalarını hedef aldığı bildirildi.
Uzmanların yaptığı incelemelere göre söz konusu açık, aynı cihazda bulunan farklı uygulamalar arasında yetki zafiyeti oluşturuyor. Bu durum, kötü niyetli bir yazılımın başka bir uygulamanın verilerine dolaylı şekilde erişmesine imkân tanıyor.
Kripto para uygulamalarının bu süreçte öncelikli hedef haline gelmesi dikkat çekti. Toplamda 30 milyondan fazla indirilen kripto cüzdan uygulamalarının yanı sıra diğer etkilenen yazılımlarla birlikte riskli kurulum sayısının 50 milyonu aştığı ifade ediliyor.
Uygulama izolasyonu zayıfladı, veriler tehlikede
Güvenlik açığının temelinde, EngageLab SDK’nın dışarıdan gelen bazı komutları yeterince doğrulamadan güvenilir kabul etmesi yer alıyor. Bu zafiyet, Android’in uygulama izolasyon sistemini zayıflatarak saldırganlara geniş erişim imkânı sunabiliyor.
Saldırının başarıyla gerçekleştirilmesi halinde cihazlardaki kişisel veriler, kimlik bilgileri ve finansal içerikler ele geçirilebiliyor. Bu durum özellikle kripto varlık kullanıcıları için ciddi bir risk oluşturuyor.
Microsoft, açığı Nisan 2025’te tespit ederek ilgili taraflara bildirdi. EngageLab SDK geliştiricileri ise sorunu Kasım 2025’te yayımlanan 5.2.1 sürümüyle giderdi. Google da risk taşıyan bazı uygulamaları Play Store’dan kaldırarak ek güvenlik önlemleri aldı. Ancak uzmanlar, kullanıcıların cihazlarını ve uygulamalarını güncel tutmaları gerektiği konusunda uyarıda bulunuyor.
