GoPlus 紧急警报:EngageLab SDK 高危漏洞,3000 万加密钱包私钥恐泄露
区块链安全平台 GoPlus 于 4 月 10 日发布紧急警报,指广泛应用于 Android 推送通知的 EngageLab SDK 存在严重安全漏洞,波及逾 5,000 万 Android 用户,其中约 3,000 万为加密货币钱包用户。攻击者可在受害设备上部署伪装成合法应用的恶意程序,窃取加密钱包私钥与登录凭证。
漏洞技术原理:静默执行的跨应用攻击链
(来源:GoPlus)
此次漏洞的核心缺陷在于 EngageLab SDK 对 Android 系统 Intent 通讯机制的处理未进行充分来源验证。Intent 是 Android 应用间传递指令的合法机制,但 EngageLab SDK 的实现允许未授权来源的指令绕过正常验证流程,触发目标应用执行敏感操作。
完整攻击链三步骤
恶意应用植入:攻击者将恶意程序伪装成合法 App,诱使受害者在同一 Android 设备上安装
恶意 Intent 注入:恶意 App 向同一设备上已整合 EngageLab SDK 的加密钱包或金融应用,发送精心构造的恶意 Intent
越权操作执行:目标应用收到 Intent 后,在用户不知情的情况下执行未授权操作,包括窃取钱包私钥、登录凭证及其他敏感数据
此攻击链的最大危险性在于其静默性:受害者无需主动操作,只要设备上同时存在恶意应用与含漏洞版本的 EngageLab SDK 应用,攻击即可在后台完成。
影响规模:加密用户面临不可逆资产损失风险
EngageLab SDK 作为广泛部署的推送通知基础元件,被整合进数千款 Android 应用,使此次漏洞的波及范围达到 5,000 万设备规模,其中加密货币钱包用户约 3,000 万。
加密钱包私钥一旦泄露,攻击者即可完全掌控受害者的链上资产,且区块链交易的不可逆特性意味着此类损失几乎无法追回,风险程度远超一般应用数据泄露事件。
紧急应对措施:开发者与用户的即时行动清单
分群安全建议
- 应用程序开发者与厂商
· 立即核查产品是否整合 EngageLab SDK,确认当前版本是否低于 4.5.5
· 升级至 EngageLab SDK 4.5.5 或以上官方修复版本(请参阅 EngageLab 官方文件)
· 重新发布更新后的版本,并通知用户尽快完成更新
- 一般 Android 用户
· 立即前往 Google Play 更新所有应用,优先处理加密钱包与金融类 App
· 对来源不明或非官方渠道下载的 App 保持警惕,必要时立即删除
· 若怀疑私钥已泄露,应立即在安全设备上建立新钱包,转移资产并永久停用旧地址
常见问题
EngageLab SDK 是什么,为什么被广泛整合于加密钱包?
EngageLab SDK 是提供 Android 推送通知功能的第三方软件套件,因部署便利被大量应用采用。推送通知几乎是所有移动应用的标配功能,这也使 EngageLab SDK 在加密钱包及金融应用中广泛存在,进而导致此次漏洞的波及规模达到 5,000 万用户。
如何确认自己的设备是否受此漏洞影响?
若您的 Android 设备安装了加密钱包或金融应用,且尚未更新至最新版本,则存在受影响风险。建议立即在 Google Play 商店更新所有应用。开发者可通过核查应用内的 SDK 版本号,确认是否使用了低于 4.5.5 版本的 EngageLab SDK。
私钥若已泄露,应如何紧急处置?
应立即在未受感染的安全设备上建立全新钱包地址,将原钱包所有资产转移至新地址,并永久停用原有地址。同步更改所有相关平台的登录密码,并为账户启用双重验证,以降低后续遭进一步入侵的风险。