安卓漏洞使3000万个加密钱包面临攻击：微软分析师

一项补丁已经发布近一年，但仍有数百万安卓用户可能在运行存在漏洞的加密钱包应用——导致他们的资金和私钥暴露在已知的安全漏洞之下。

微软的 Defender 安全研究团队在上周公开了该漏洞的细节。该漏洞最初于 2025 年 4 月被发现。漏洞存在于一种广泛使用的软件组件中，名为 EngageLab SDK，版本为 4.5.4。

由于该 SDK 被嵌入了成千上万的安卓应用中，一个单独的恶意应用可能触发连锁反应，其影响范围会远远超出自身。

攻击是如何运作的

这种方法被称为“意图重定向”。攻击者的应用会向任何正在运行存在漏洞的 SDK 版本的应用发送一条精心构造的消息。消息一旦送达，目标应用就会被诱导，从而将读取和写入其自身数据的权限交出去——其中包括已保存的种子短语和钱包地址。

安卓内置的沙箱系统通常会阻止应用看到彼此的数据，但这次却被完全绕过。据微软称，该攻击影响了安卓生态系统中超过 5000 万个应用，其中大约有 3000 万个是加密钱包。

该漏洞不需要用户做任何错误操作。没有可疑链接。没有钓鱼页面。只要在同一设备上同时安装了错误的应用，就足以造成风险。

来自微软和谷歌的应对

微软在发现该漏洞后迅速采取行动。到 2025 年 5 月，公司已将谷歌和安卓安全团队纳入响应工作。EngageLab 随后不久发布了修复版本——SDK 5.2.1。

报道称，此后微软和谷歌都已指导用户如何通过 Google Play Protect 来验证其钱包应用是否已更新。

官员们还指出了一个更广泛的担忧：从 Play 商店之外以 APK 文件形式安装的应用风险更高，因为它们绕过了谷歌对列在其官方应用市场中的应用所执行的安全检查。

用户现在应该做什么

对大多数会定期更新应用的用户而言，风险很可能已经过去。但对任何在 2025 年年中之后尚未更新的人来说，推荐采取的行动不只是简单地刷新应用。

安全团队建议这些用户将资金转移到全新的钱包中，并使用新的种子短语生成。任何在暴露窗口期间处于活动状态且尚未修补的钱包，都应被视为可能已遭到入侵。

此次披露还伴随着上个月被标记的另一项安卓芯片漏洞，以及美国财政部一项新的计划：由政府机构与加密公司配对，以共享网络安全威胁情报——表明在加密领域，移动安全正受到最高层的关注。

Bleeping Computer 的精选图片，TradingView 的图表