Una grave vulnerabilità nell'EngageLab SDK mette a rischio 50 milioni di utenti Android, di cui 30 milioni legati a portafogli crypto Una nuova vulnerabilità è stata scoperta nel popolare kit di sviluppo software (SDK) EngageLab, utilizzato da molte applicazioni su…
Una grave vulnerabilità nell’EngageLab SDK mette a rischio 50 milioni di utenti Android, di cui 30 milioni legati a portafogli crypto
Una nuova vulnerabilità è stata scoperta nel popolare kit di sviluppo software (SDK) EngageLab, utilizzato da molte applicazioni su Android. Questo difetto di sicurezza ha esposto milioni di utenti, in particolare quelli con portafogli di criptovalute, a potenziali attacchi informatici. La questione è particolarmente critica, considerando che un gran numero di queste applicazioni sono già presenti sul mercato o sono state scaricate da milioni di utenti in tutto il mondo, inclusa l’Italia.
Dettagli della Vulnerabilità
Secondo un rapporto rilasciato dalla Microsoft Defender Security Research Team, il problema fondamentale riguarda l’incapacità di alcuni app di proteggere adeguatamente i dati sensibili. In sostanza, questa vulnerabilità consente ad altre applicazioni presenti sullo stesso dispositivo di bypassare il “sandboxing” di Android, ottenendo accesso non autorizzato a informazioni private degli utenti. L’EngageLab SDK, particolarmente noto per il suo servizio di notifiche push, sta quindi sollevando preoccupazioni sul fronte della sicurezza, specialmente tra i tantissimi utenti di portafogli criptovalutari.
L’SDK EngageLab è concepito per semplificare la comunicazione con gli utenti, inviando notifiche in base al comportamento degli stessi. Tuttavia, con oltre 30 milioni di installazioni di app legate ai portafogli di criptovalute e oltre 50 milioni considerando anche altri software, il rischio di cyber attacchi si amplifica notevolmente.
Implicazioni e Rischi per gli Utenti
Anche se non ci sono prove dirette che la vulnerabilità sia stata sfruttata in contesti malevoli, gli esperti di sicurezza raccomandano comunque a tutti gli sviluppatori di applicazioni che utilizzano la versione vulnerabile dell’SDK di aggiornare quanto prima il proprio software. La problematica principale è identificata come una “vulnerabilità di redirezione delle intent” che consente di manipolare i messaggi inviati tra le app, aprendo la porta a un accesso non autorizzato ai dati sensibili.
Gli utenti italiani, in particolare quelli che utilizzano app di portafogli criptovalutari, devono prestare attenzione e prendere misure per garantire la sicurezza delle loro informazioni. In un contesto dove la digitalizzazione sta avanzando rapidamente, il rischio di esposizione dei dati personali non è mai stato così alto.
La Risposta di EngageLab e Raccomandazioni
Dopo la divulgazione responsabile della vulnerabilità, EngageLab ha rilasciato una versione correttiva dell’SDK, la 5.2.1, nel novembre 2025, per risolvere i problemi identificati. Microsoft ha dichiarato che, a seguito dell’indagine, tutte le applicazioni vulnerabili sono state rimosse dal Google Play Store per proteggere gli utenti.
È essenziale che le aziende e gli sviluppatori comprendano le implicazioni delle vulnerabilità nei pacchetti di terze parti. La dipendenza da SDK esterni può esporre i loro utenti a rischi invisibili che necessitano di essere continuamente monitorati e gestiti. Considerando che i portafogli di criptovalute rappresentano asset molto sensibili, l’attenzione alla sicurezza informatica diventa una priorità.
Conclusione
In conclusione, la vulnerabilità scoperta nell’EngageLab SDK è un campanello d’allarme per tutti gli sviluppatori e gli utenti di applicazioni Android, in particolare nel settore delle criptovalute. Si consiglia di aggiornare immediatamente l’SDK e mantenere sempre i software aggiornati per mitigare i rischi di attacchi informatici. La sicurezza online è una responsabilità condivisa, e la proattività è fondamentale per proteggere i dati e le informazioni personali da minacce esterne.
