كشفت ثغرة أمنية خطيرة في مكتبة EngageSDK، المستخدمة على نطاق واسع في نظام أندرويد، عن خطر يهدد أكثر من 30 مليون مستخدم لمحافظ العملات المشفرة بسرقة أموالهم وبياناتهم الشخصية. تسمح هذه الثغرة للتطبيقات الضارة بالوصول غير المصرح به إلى المعلومات الحساسة.
تُعتبر ثغرة إعادة توجيه النوايا (intent redirection) سبباً رئيسياً لهذا الخطر، حيث تمكّن التطبيقات الخبيثة على نفس الجهاز من تجاوز إجراءات الأمان المدمجة في أندرويد. وإن وجود بيانات مالية حقيقية داخل محافظ العملات المشفرة يجعل هذه الثغرة ذات عواقب وخيمة تتجاوز مجرد انتهاك الخصوصية.
ثغرة EngageSDK تهدد مستخدمي محافظ العملات المشفرة
مكتبة EngageSDK هي حزمة تطوير برمجيات لطرف ثالث، طورتها شركة EngageLab، وتهدف إلى مساعدة المطورين على إضافة ميزات الإشعارات الفورية والرسائل في الوقت الفعلي لتطبيقات أندرويد.
عندما يدمج المطورون هذه المكتبة كاعتماد في برمجياتهم، فإنها تصبح جزءاً لا يتجزأ من آلية عمل التطبيق، ومن ثم، فإن أي ثغرة فيها تؤثر على جميع التطبيقات التي تستخدمها بشكل متزامن.
أفاد فريق أبحاث أمن مايكروسوفت ديفندر باكتشاف هذه الثغرة أثناء بحث أمني روتيني، مشيراً إلى أنها تكمن في نشاط مُصدّر يُعرف بـ MTCommonActivity.
يتميز هذا النشاط بأنه يُضاف صامتاً إلى ملف بيان أندرويد المدمج أثناء عملية بناء التطبيق، مما يعني أنه لا يظهر في الشفرة المصدرية الأصلية، بل في الناتج النهائي المُجمّع فقط. ونظراً لأن المطورين غالباً ما يتجاهلون هذه التفاصيل، فإن النشاط يظل غير مُراجع وغير محمي.
بمجرد تثبيت التطبيق على الجهاز، يصبح هذا النشاط قابلاً للوصول من قبل أي تطبيق آخر يعمل على نفس الهاتف. وتشكل خطورة هذا الانكشاف ما يجعل الثغرة مصدر قلق بالغ، خاصة وأن محافظ العملات المشفرة وحدها شهدت أكثر من 30 مليون تثبيت، ويزداد العدد الإجمالي للمستخدمين المعرضين للخطر إلى أكثر من 50 مليون تثبيت عند احتساب التطبيقات الأخرى المبنية على نفس المكتبة.
تمت إزالة جميع التطبيقات التي ثبت أنها تعمل بإصدارات غير آمنة من متجر Google Play. وحسب التقارير، لا يوجد دليل مؤكد حتى الآن على استغلال الثغرة في هجمات فعلية.
تم اكتشاف الخلل لأول مرة في الإصدار 4.5.4 من EngageLab SDK في أبريل 2025. وأبلغت مايكروسوفت شركة EngageLab من خلال ممارسات الإفصاح عن الثغرات المنسق (CVD) تحت مظلة أبحاث ثغرات أمن مايكروسوفت (MSVR).
لاحقاً، تم تصعيد الأمر إلى فريق أمن أندرويد في مايو 2025. وقد أصدرت EngageLab تحديثاً للإصلاح في الإصدار 5.2.1 بتاريخ 3 نوفمبر 2025، والذي عالج مشكلة الانكشاف عن طريق جعل النشاط المعرض للخطر غير مُصدّر.
آلية عمل هجمات إعادة توجيه النوايا
تُعد إعادة توجيه النوايا تقنية يستخدمها المهاجمون للتلاعب بمحتوى رسالة تُعرف بالـ “Intent” (النية)، والتي يرسلها تطبيق موثوق به، بهدف تنفيذ إجراء ضار بدلاً من الوظيفة الأصلية.
في نظام أندرويد، تُعتبر النوايا هي الوسيلة الأساسية لتواصل التطبيقات فيما بينها أو مع مكوناتها الداخلية. وعندما يرسل تطبيق موثوق به نية، فإن نظام أندرويد يحترم أذوناته. يستغل المهاجمون هذا الثقة لتنفيذ عمليات خبيثة، بينما يختبئون خلف هوية التطبيق الشرعي.
يبدأ التطبيق الضار الهجوم بإرسال عنوان URI مُعد خصيصاً إلى نشاط MTCommonActivity المكشوف.
يقوم هذا النشاط بتمرير عنوان URI عبر دالة تُسمى processIntent()، والتي بدورها تعيد توجيهه إلى processPlatformMessage().
تقوم هذه الدالة باستخلاص حقل يُسمى n_intent_uri، ثم تبني نية جديدة منه، وتشغّل هذه النية باستخدام أذونات التطبيق الموثوق به نفسه.
نظراً لأن المكتبة تطبق العلامة URI_ALLOW_UNSAFE، فإن المدخل الضار يمكن أن يحمل علامات أذونات قراءة وكتابة تمنح وصولاً مستمراً إلى المسنتترات الخاصة للتطبيق المستهدف.
كنتيجة لذلك، تصبح بيانات الاعتماد، والمفاتيح الخاصة، والبيانات المالية الحساسة داخل التطبيق مكشوفة للمهاجم بصمت.
يجب على المطورين الذين يستخدمون EngageLab SDK الترقية إلى الإصدار 5.2.1 أو أحدث فوراً. بعد كل عملية بناء للمشروع، ينبغي على المطورين فحص ملف بيان أندرويد المدمج بعناية بحثاً عن أي أنشطة مُصدّرة أو أذونات غير متوقعة قد تدخّلها مكتبات الطرف الثالث.
يجب دائماً التحقق من صحة بيانات النوايا الواردة من خارج التطبيق قبل استخدامها. لقد أصبح المستخدمون الذين قاموا بتثبيت تطبيق غير آمن سابقاً في وضع محمي، حيث طبّقت أندرويد إجراءات حماية تلقائية تستهدف هذه الثغرة على وجه التحديد، بينما يكمل المطورون تحديثاتهم.