GoPlus 緊急警報:EngageLab SDK 高危漏洞,3000 萬加密錢包私鑰恐外洩
區塊鏈安全平台 GoPlus 於 4 月 10 日發布緊急警報,指廣泛應用於 Android 推播通知的 EngageLab SDK 存在嚴重安全漏洞,波及逾 5,000 萬 Android 用戶,其中約 3,000 萬為加密貨幣錢包用戶。攻擊者可在受害裝置上部署偽裝成合法應用的惡意程式,竊取加密錢包私鑰與登入憑證。
漏洞技術原理:靜默執行的跨應用攻擊鏈
(來源:GoPlus)
此次漏洞的核心缺陷在於 EngageLab SDK 對 Android 系統 Intent 通訊機制的處理未進行充分來源驗證。Intent 是 Android 應用間傳遞指令的合法機制,但 EngageLab SDK 的實現允許未授權來源的指令繞過正常驗證流程,觸發目標應用執行敏感操作。
完整攻擊鏈三步驟
惡意應用植入:攻擊者將惡意程式偽裝成合法 App,誘使受害者安裝於同一 Android 裝置
惡意 Intent 注入:惡意 App 向同裝置上已整合 EngageLab SDK 的加密錢包或金融應用,發送精心構造的惡意 Intent
越權操作執行:目標應用收到 Intent 後,在用戶不知情的情況下執行未授權操作,包括竊取錢包私鑰、登入憑證及其他敏感數據
此攻擊鏈的最大危險性在於其靜默性:受害者無需主動操作,只要裝置上同時存在惡意應用與含漏洞版本的 EngageLab SDK 應用,攻擊即可在背景完成。
影響規模:加密用戶面臨不可逆資產損失風險
EngageLab SDK 作為廣泛部署的推播通知基礎元件,被整合進數千款 Android 應用,使此次漏洞的波及範圍達到 5,000 萬裝置的規模,其中加密貨幣錢包用戶約 3,000 萬。
加密錢包私鑰一旦外洩,攻擊者即可完全掌控受害者的鏈上資產,且區塊鏈交易的不可逆特性意味著此類損失幾乎無法追回,風險程度遠超一般應用資料外洩事件。
緊急應對措施:開發者與用戶的即時行動清單
分群安全建議
- 應用程式開發者與廠商
· 立即核查產品是否整合 EngageLab SDK,確認當前版本是否低於 4.5.5
· 升級至 EngageLab SDK 4.5.5 或以上官方修復版本(請參閱 EngageLab 官方文件)
· 重新發布更新後版本,並通知用戶盡快完成更新
- 一般 Android 用戶
· 立即前往 Google Play 更新所有應用,優先處理加密錢包與金融類 App
· 對來源不明或非官方渠道下載的 App 保持警覺,必要時立即刪除
· 若懷疑私鑰已外洩,應立即在安全裝置上建立新錢包,轉移資產並永久停用舊地址
常見問題
EngageLab SDK 是什麼,為何被廣泛整合於加密錢包?
EngageLab SDK 是提供 Android 推播通知功能的第三方軟體套件,因部署便利被大量應用採用。推播通知幾乎是所有移動應用的標配功能,這也使 EngageLab SDK 在加密錢包及金融應用中廣泛存在,進而導致此次漏洞的波及規模達到 5,000 萬用戶。
如何確認自己的裝置是否受此漏洞影響?
若您的 Android 裝置安裝了加密錢包或金融應用,且尚未更新至最新版本,則存在受影響風險。建議立即在 Google Play 商店更新所有應用。開發者可透過核查應用內的 SDK 版本號,確認是否使用了低於 4.5.5 版本的 EngageLab SDK。
私鑰若已外洩,應如何緊急處置?
應立即在未受感染的安全裝置上建立全新錢包地址,將原錢包所有資產轉移至新地址,並永久停用原有地址。同步更改所有相關平台的登入密碼,並為帳號啟用雙重驗證,以降低後續遭進一步入侵的風險。