新聞 
幣種資訊 
關於我們 
根據 Microsoft(微軟)於 13 日公開的技術說明,Android 生態系中廣泛使用的軟體開發套件「EngageLab SDK」被曝存在嚴重「漏洞」,可能影響超過 5,000 萬個應用程式,其中約 3,000 萬個為加密貨幣「錢包」相關 App。外界憂心,若使用者未及時更新,錢包地址、種子片語與「私鑰」等敏感資訊恐面臨外洩風險。
微軟旗下「Defender Security Research Team」指出,團隊在 2025 年 4 月首次發現這項 EngageLab SDK「漏洞」,並於上週正式對外披露技術細節。問題核心在於 Android 平台上的「intent redirection」機制:惡意應用程式可向安裝了舊版 EngageLab SDK 的 App 發送特製訊息,誘使對方錯誤地將自身的資料存取權限轉交給攻擊者,等同繞過 Android 原本的「沙盒」防護隔離。
根據說明,微軟已在 2025 年 5 月將相關情資通報給 Google 及 Android 安全團隊,EngageLab 則隨後釋出修正版「SDK 5.2.1」,用以修補上述「漏洞」。不過,安全專家提醒,若使用者是透過外部網站或安裝檔(APK)側載 App,而非經由 Google Play 商店下載,這類應用程式往往不會自動通過 Google 的安全檢驗,風險相對更高。
微軟估算,受影響的應用程式數量超過 5,000 萬個,其中約有 3,000 萬個屬於加密貨幣「錢包」類 App。一旦裝置上同時存在至少一款受影響的錢包 App 與惡意應用程式,在使用者完全「無須操作」的情況下,攻擊就有機會悄悄完成,這也是此次事件在資安圈引發高度關注的主因。
多位資安研究人員警告,若使用者在 2025 年年中之後仍未替相關錢包 App 進行更新,單純的版本升級可能已不足以完全排除風險。「評論」:原因在於,一旦舊版本在漏洞存在期間曾經啟動且連網使用,即使後續打上補丁,先前可能已被竊取的「私鑰」與種子片語並不會自動失效。專家因此建議,曾在受影響期間使用過錢包 App 的用戶,應將原錢包視為「可能已遭入侵」,儘速生成全新的種子片語與新錢包地址,並將所有加密資產轉移至新「錢包」,才是相對安全的做法。
此次 EngageLab SDK「漏洞」事件,正值 Android 裝置晶片層資安疑慮頻傳、美國財政部推動與加密貨幣企業共享「網路威脅」情資等背景之下。業界分析認為,行動裝置端的「資安防護」,已成為保護加密貨幣(BTC)、以太幣(ETH)等數位資產時不可忽視的關鍵一環。「評論」:無論是一般散戶還是機構投資者,只要仍依賴手機錢包管理資產,就必須把作業系統更新、App 來源審查與錢包備份策略,視為加密投資風險管理的一部分,而非可有可無的附屬措施。
留言 0