Microsoft waarschuwt voor Android-lek rond cryptowallets: 30 miljoen installaties blootgesteld

Microsoft heeft een ernstig beveiligingsprobleem blootgelegd in een veelgebruikte Android-SDK dat ook de cryptosector direct raakt. In een securityblog van 9 april schrijft het bedrijf dat een kwetsbaarheid in EngageSDK ervoor kon zorgen dat apps op hetzelfde toestel de Android-sandbox omzeilden en ongeautoriseerde toegang kregen tot privédata. Alleen al bij crypto-walletapps ging het volgens Microsoft om meer dan 30 miljoen installaties. Over alle getroffen apps samen liep dat op tot meer dan 50 miljoen installaties.

Belangrijk is wel wat dit níét is. Microsoft zegt dat het op het moment van publicatie geen aanwijzingen had dat de kwetsbaarheid is misbruikt. Ook gaat het hier niet om een bevestigde buit, maar om blootstelling aan risico door een zwakke schakel in de mobiele softwarestack.

De kwetsbaarheid draaide om zogeheten intent redirection. Volgens Microsoft kon een malafide app misbruik maken van de manier waarop de getroffen SDK intents verwerkte, waardoor een kwetsbare app acties kon uitvoeren met haar eigen rechten en identiteit. Daardoor konden gevoelige gegevens zoals persoonlijke informatie, gebruikerscredentials en financiële data potentieel toegankelijk worden voor een andere app op hetzelfde apparaat.

Dat maakt dit vooral een supply-chainverhaal. De zwakke plek zat niet in één specifieke walletlogica, maar in een externe softwarecomponent die ontwikkelaars in hun app hadden geïntegreerd. Microsoft noemt dat expliciet een voorbeeld van hoe afhankelijk mobiele apps zijn geworden van derde partijen en hoe één upstream library ongemerkt een groot aanvalsoppervlak kan toevoegen.

Voor de cryptosector springt dit incident eruit omdat wallets en andere asset-apps extra gevoelig zijn voor data-exfiltratie. Microsoft schrijft zelf dat juist in “high-value sectors” zoals digital asset management kleine fouten in derdepartijsoftware miljoenen devices kunnen raken. Dat is een nuchtere, maar stevige waarschuwing: bij mobiele wallets ligt de vertrouwensgrens niet alleen bij de app zelf, maar ook bij de hele keten van SDK’s, notificatiepakketten en andere ingebouwde componenten.

Dat is precies waarom het cijfer van 30 miljoen installaties ertoe doet. Niet omdat al die wallets zijn buitgemaakt, maar omdat het laat zien hoe breed een technisch ogend Android-probleem kan doorslaan naar een sector waar accounts, credentials en financiële data direct waarde vertegenwoordigen. Die duiding volgt uit Microsofts eigen beschrijving van de impact en de specifieke blootstelling van walletapps.

Microsoft zegt dat het lek in april 2025 is gemeld aan EngageLab en aan het Android Security Team, omdat getroffen apps via Google Play werden verspreid. Volgens Microsoft is de kwetsbaarheid verholpen in EngageSDK versie 5.2.1, uitgebracht op 3 november 2025. Ook schrijft het bedrijf dat alle gedetecteerde apps met kwetsbare versies uit Google Play zijn verwijderd en dat Android extra automatische gebruikersbescherming heeft toegevoegd voor eerder geïnstalleerde kwetsbare apps.

EngageLab bevestigde later in een eigen verklaring dat de complete fix in versie 5.2.1 zat en dat Google Security op 2 december 2025 onafhankelijk verifieerde dat het probleem volledig was opgelost. De leverancier zegt ook dat geen exploitatie in het wild is bevestigd.

Voor gebruikers betekent dit niet automatisch dat hun wallet is geleegd of dat hun toestel is gecompromitteerd. De bronnen ondersteunen dat simpelweg niet. Wat ze wel duidelijk maken, is dat mobiele beveiliging in crypto te vaak te smal wordt bekeken. Niet alleen browserextensies, seed phrases en smart contracts verdienen aandacht, maar ook de onzichtbare mobiele softwarelaag waar een wallet op draait.

De belangrijkste les is daarom breder dan dit ene lek. Wie crypto op mobiel gebruikt, vertrouwt niet alleen op een walletmerk, maar op een hele keten van libraries en leveranciers daarachter. Microsofts vondst laat zien hoe groot dat verborgen risico kan worden zodra één externe SDK verkeerd landt.