EngageLab SDK高危漏洞曝光：数千万加密钱包应用处于风险之中

最新安全报告显示，安卓生态中广泛集成的EngageLab SDK存在深层安全缺陷，可能使全球范围内超过5000万款应用陷入安全隐患，其中约三成涉及数字资产存储功能。该问题虽已在2025年5月完成修复，但仍有大量用户未完成版本升级，导致敏感信息暴露于攻击者视野。

恶意意图重定向触发系统权限越界

漏洞根源在于安卓系统中“意图传递”机制的异常处理逻辑。攻击者可构造特定数据包，诱使目标应用在无用户交互的情况下主动开放内部数据访问权限，从而突破沙箱隔离限制，实现对本地存储内容的非法读取。

该缺陷自2025年4月首次发现后，已向谷歌安全响应中心（Google Security Team）报备，并推动相关厂商同步更新。修复版本SDK 5.2.1已于官方渠道上线，但通过非正规渠道下载安装的应用因缺乏自动更新机制，成为主要受害群体。

高危场景下静默攻击或致资产全失

调查显示，当设备同时运行未修补的应用与恶意程序时，攻击可在后台自动完成，无需用户点击或授权。这一特性使得部分用户在毫无察觉的情况下丧失对钱包地址、助记词及私钥的控制权。

安全机构建议，若曾使用过受影响版本的加密钱包应用，即便当前已更新，也应视为潜在风险源。推荐立即生成新助记词，创建全新钱包账户，并将原有资产转移至新地址以彻底消除隐患。

移动安全防线亟待全面加固

此次事件正值安卓芯片级安全预警频发与监管趋严之际，凸显出底层组件可靠性对数字资产保护体系的重要影响。随着去中心化金融规模扩大，基础开发工具链的安全性正成为行业关注焦点，未来需建立更严格的第三方组件审计与动态监控机制。