Android intră din nou în centrul unei alerte importante de securitate, după ce Microsoft a identificat o vulnerabilitate serioasă într-un SDK popular numit EngageLab, folosit pentru funcții precum notificările push sau mesageria din aplicații. Problema nu a vizat o singură aplicație pentru Android, ci un lanț mai larg de aplicații care au ajuns pe foarte multe telefoane și tablete, ceea ce transformă cazul într-un semnal de alarmă major pentru utilizatori și dezvoltatori.
Android a fost afectat la scară mare, pentru că aproximativ 50 de milioane de dispozitive foloseau aplicații care includeau această vulnerabilitate. Potrivit detaliilor făcute publice, vulnerabilitatea permitea unor aplicații pentru Android aflate pe același dispozitiv să ocolească sandbox-ul de securitate și să obțină acces neautorizat la date private. Cu alte cuvinte, o barieră esențială de protecție putea fi trecută, iar informațiile stocate pe telefon deveneau mai expuse decât ar fi trebuit.
Android se bazează pe un sistem clar de separare între aplicații, tocmai pentru ca una să nu poată intra peste datele alteia fără permisiuni valide. În acest caz, vulnerabilitatea era legată de modul în care funcționa mecanismul de tip „intenție”, folosit pentru comunicarea dintre aplicații sau dintre componentele aceleiași aplicații pentru Android. Deși acest mecanism este normal și util în ecosistemul mobil, eroarea descoperită a creat o portiță care putea schimba regulile jocului în favoarea unor actori rău intenționați.
Alertă pentru Android, 50 de Milioane de Oameni Afectați de o Problemă Gravă Descoperită de Microsoft
Android a fost pus într-o situație și mai sensibilă din cauza faptului că cel puțin 30 de milioane dintre instalări au fost reprezentate de aplicații de criptomonede. Asta înseamnă că riscul nu a fost doar teoretic, ci a vizat inclusiv zone cu valoare ridicată, unde utilizatorii gestionează date sensibile și active digitale. Tocmai de aceea, cazul devine extrem de relevant și pentru români, mai ales pentru cei care folosesc frecvent aplicații financiare pentru Android, portofele digitale sau servicii mobile pentru administrarea banilor.
Android a avut această problemă identificată de Microsoft în aprilie 2025, în versiunea 4.5.4 a SDK-ului EngageLab. Corecția a venit abia în noiembrie, odată cu versiunea 5.2.1, ceea ce arată cât de mare poate fi fereastra de risc atunci când o vulnerabilitate din Android într-o componentă terță rămâne activă în numeroase aplicații. Ulterior, aplicațiile construite cu versiunea afectată au fost eliminate din Google Play, o măsură importantă pentru limitarea expunerii.
Android are probleme, dar Microsoft a spus că nu a găsit dovezi că această eroare ar fi fost descoperită și exploatată anterior ca zero-day în atacuri reale. Chiar și așa, lipsa dovezilor nu înseamnă lipsa riscului pentru zeci de milioane de oameni cu telefoane Android, iar mesajul transmis către dezvoltatori este clar: actualizarea la cea mai nouă versiune a SDK-ului trebuie făcută cât mai rapid.
Android arată prin acest episod cât de periculoase pot deveni dependențele ascunse din aplicațiile moderne. Multe programe nu mai sunt construite doar din codul propriu al dezvoltatorului, ci dintr-un amestec de module externe și SDK-uri terțe. Când una dintre aceste verigi din Android slabe cedează, impactul se poate întinde la milioane de utilizatori fără ca ei să știe ce componentă le-a pus datele în pericol.
