Een kwetsbaarheid in een software development kit (SDK) waar allerlei Android-cryptowallets gebruik van maken kan malafide apps toegang tot gevoelige data van de wallets geven, zo meldt Microsoft. Dat ontdekte en rapporteerde het probleem aan de ontwikkelaars, die eind vorig jaar met een update kwamen. Volgens Microsoft zijn alle kwetsbare Android-wallets inmiddels van de Google Play Store verwijderd. Het probleem raakte meer dan dertig miljoen gebruikers, aldus Microsoft.

De niet nader genoemde wallet-apps maken gebruik van de EngageSDK. Deze software development kit laat apps berichten en pushnotificaties naar gebruikers sturen. Zodra de SDK door de ontwikkelaar aan zijn app is toegevoegd verzorgt de SDK de communicatie en is daarmee een kernonderdeel van de applicatie. Een kwetsbaarheid in de SDK zorgt ervoor dat andere apps op de telefoon naar de private directory van de cryptowallet kunnen schrijven en lezen, waardoor er ongeautoriseerde toegang tot gevoelige data kan worden verkregen.

Android-apps kunnen onderling communiceren en data uitwisselen, maar de mogelijkheden hiervoor zijn normaliter beperkt, zoals ingesteld via het Android-manifest. Daarin staan de permissies, configuratie en andere zaken met betrekking tot de app. Wanneer app-ontwikkelaars de EngageSDK aan hun app toevoegden werd er een 'activity' aan het Android-manifest toegevoegd die andere apps op de telefoon vergaande toegang gaf tot de data van de cryptowallet.

De cryptowallets in kwestie hadden volgens Microsoft meer dan dertig miljoen gebruikers. EngageLab werd vorig jaar april over de kwetsbaarheid ingelicht en kwam in november met een update. Details van het probleem zijn nu openbaar gemaakt. App-ontwikkelaars worden opgeroepen om de nieuwste SDK-versie binnen hun apps te gebruiken.