كشفت شركة Microsoft عن ثغرة أمنية شديدة الخطورة في حزمة تطوير البرمجيات الخارجية (EngageSDK)، المعروفة سابقاً باسم EngageLab SDK. وتكمن خطورة هذا الخلل في تمكين التطبيقات المثبتة على الجهاز ذاته من تجاوز طبقة العزل الأمني في نظام Android؛ ما يتيح الوصول إلى بيانات خاصة وحساسة دون الحصول على تصريح مسبق.
وتشير الإحصائيات إلى تعرض أكثر من 30 مليون عملية تثبيت لتطبيقات المحافظ الرقمية لهذا الخطر، في حين تجاوز العدد الإجمالي للتثبيتات المتأثرة عبر الفئات المختلفة حاجز 50 مليوناً.
وبحسب التحليل التقني الصادر عن فريق Microsoft Defender Security Research Team، فإن المشكلة ترتبط بثغرة من نوع Intent Redirection، وهي آلية تعيد توجيه الأوامر البرمجية بشكل غير آمن.
وتُعد الـ Intents في نظام Android الوسيلة الأساسية للتواصل بين مكونات التطبيقات وتنفيذ الأوامر، إلا أن معالجتها بطريقة تفتقر للأمان تمنح المهاجم فرصة لاستغلال الثقة الممنوحة لتطبيق موثوق، ودفعه لتنفيذ تعليمات برمجية ضارة. ويؤدي هذا المسار إلى اختراق المكونات المحمية داخل التطبيق، وكشف البيانات الحساسة، مع رفع مستوى الامتيازات الممنوحة للتطبيق الخبيث داخل بيئة النظام.
كواليس الاستغلال التقني
ترتبط هذه الثغرة بمكون تقني يُسمى MTCommonActivity، وهو عبارة عن واجهة تفاعلية تُدرج آلياً في ملف (Android Manifest) عند دمج المكتبة البرمجية في أي تطبيق. يظهر هذا المكون ضمن ما يُعرف بالبيان المدمج (Merged Manifest) بعد عملية بناء التطبيق، وقد يغفل المطورون عن مراجعته برمجياً رغم بقائه نشطاً في النسخة النهائية. وبسبب ضبط هذا المكون كعنصر مُصدّر (Exported)، فإنه يصبح متاحاً لأي تطبيق خارجي على الجهاز لإرسال أوامر مباشرة إليه دون قيود أمنية كافية.
تبدأ عملية الاستغلال عندما يرسل تطبيق خبيث Intent يتضمن رابطاً بصيغة URI تم إعداده بدقة لاختراق النظام. يعالج التطبيق المصاب هذا الرابط عبر دالة processIntent، التي تستدعي لاحقاً وظيفة processPlatformMessage لاستخراج قيم محددة تُستخدم في بناء Intent جديد.
وفي هذه المرحلة، يتم استدعاء دالة parseUri مع إعدادات تسمح بمعالجة غير آمنة للروابط، وتوجيه الأوامر إلى مكون محدد داخل التطبيق. يتيح هذا السلوك للمهاجم استدعاء أنشطة داخلية والوصول إلى مزودي المحتوى Content Providers، وهي مكونات لم تُصمم أصلاً لتكون متاحة للاستخدام الخارجي.
التداعيات الأمنية على المحافظ الرقمية وسلسلة الإمداد
أكدت Microsoft أن هذا الاستغلال يمنح التطبيق الخبيث أذونات دائمة للقراءة والكتابة من خلال استخدام أعلام برمجية (Flags) مخصصة للتفويض المستمر. وبمجرد تمرير هذه الأذونات عبر التطبيق المتأثر، يكتسب التطبيق المهاجم قدرة التفاعل مع مصادر البيانات الداخلية للهدف، مع بقاء هذا التفويض فعالاً حتى يتم إلغاؤه يدوياً.
وينتج عن هذا الخلل كشف البنية التحتية الداخلية للتطبيق، وإتاحة الوصول إلى معلومات التعريف الشخصية (PII)، وبيانات تسجيل الدخول، والمعلومات المالية الحساسة؛ لا سيما في تطبيقات المحافظ الرقمية والعملات المشفرة التي تمثل الفئة الأكثر تضرراً.
يعود الرصد الأول لهذه الثغرة إلى أبريل 2025 ضمن الإصدار 4.5.4 من EngageLab SDK، حيث جرى التعامل معها وفق آلية الإفصاح المنسق بالتعاون مع شركة EngageLab وفريق أمن Android في Google. وقد صدر الحل البرمجي في الثالث من نوفمبر 2025 ضمن الإصدار 5.2.1 من EngageSDK، والذي تضمن تعديل المكون المتأثر ليكون غير مُصدّر (Non-exported)، لمنع التطبيقات الأخرى من الوصول إليه.
ورغم عدم رصد هجمات نشطة حتى الآن، فقد تم إزالة التطبيقات الضعيفة من متجر Google Play وتحديث آليات الحماية لتقليل المخاطر.
