Microsoft 已發布一份報告,指出 EngageLab SDK 的某個版本存在 Android 原生漏洞,導致加密貨幣錢包憑證暴露給網路犯罪分子。
此次入侵繞過了沙盒安全系統,使其能夠進行應用程式監控,並將使用者敏感資訊傳回駭客。
該問題已隨後得到解決,微軟和谷歌已指引 Android 用戶如何檢查其錢包是否已修補。
微軟已公布一項 Android 原生安全漏洞的詳細資訊,該漏洞導致 30 億個加密貨幣錢包憑證外洩給惡意攻擊者。
該公司的 Defender Security Research 團隊於 2025 年 4 月在一次常規安全研究中首次發現了此問題。
微軟詳述影響加密貨幣錢包的 Android 漏洞
攻擊從用戶安裝惡意應用程式開始,這些應用程式旨在繞過 Android 沙盒。沙盒是一種安全系統,用於隔離手機應用程式,防止它們「看見」彼此的資料。隨後,該應用程式會向一個存在漏洞的軟體開發工具包(SDK)發送訊息,具體版本為 4.5.4。SDK 是每個手機應用程式的基礎元件,大多數應用程式都需要多個 SDK 才能正常運行。
這會導致所有接收該訊息的其他應用程式被損壞,誘使它們交出內部個人資訊的讀取和寫入權限,包括加密錢包的助記詞和地址。這種脆弱性就如同在本應具有最高安全等級的建築中將窗戶敞開一樣。
如何保護您的加密貨幣錢包
被稱為「意圖重導向」的 攻擊 影響了超過 50 億個應用程式,其中包括 30 億個加密貨幣錢包。
話雖如此,微軟於 2025 年 5 月迅速與 Google 和 Android 安全團隊合作,促使 EngageLab 發布了修補版本——SDK 5.2.1。
團隊現鼓勵用戶迅速更新應用程式,並使用 Google Play Protect 進行驗證。他們也鼓勵用戶從 Play 商店下載應用程式,而非從網站下載 APK 檔案,因為前者會接受更嚴格的安全檢查。
此外,自2025年年中以來未進行任何更新的用戶,建議將其加密錢包中的資金轉移至使用全新助記詞的新錢包。
相關的網絡安全發展
這份報告是關於與加密貨幣相關的 Android 漏洞的最新資訊,另一個漏洞涉及 Android 芯片,於上個月初被 標記。
然而,隨著美國財政部與加密貨幣公司最近宣布合作共享網絡安全資訊,行業安全更具希望。