Microsoft, Android ekosisteminde yaygın olarak kullanılan üçüncü taraf bir yazılım bileşeninde ciddi bir güvenlik açığı tespit ettiğini duyurdu. Şirketin yayımladığı güvenlik analizine göre EngageLab’in EngageSDK adlı kütüphanesindeki açık, aynı cihazdaki kötü amaçlı uygulamaların Android’in güvenlik sınırlarını aşarak başka uygulamaların özel verilerine erişmesine kapı aralayabiliyor. Microsoft, yalnızca kripto cüzdan uygulamalarında bu altyapının 30 milyondan fazla kuruluma ulaştığını, diğer uygulamalar da eklendiğinde toplam etkinin 50 milyonun üzerine çıktığını bildirdi.

Açık Finansal Veriler Ve Kimlik Bilgileri İçin Risk Oluşturuyor

Microsoft’un açıklamasına göre sorun, Android’de uygulamalar arası iletişimde kullanılan “intent redirection” yapısından kaynaklanıyor. Bu açık nedeniyle hassas veriler, kullanıcı bilgileri ve finansal kayıtlar risk altına girebiliyor. Şirket, tespit edilen savunmasız uygulamaların Google Play’den kaldırıldığını belirtirken, şu ana kadar açığın gerçek saldırılarda kullanıldığına dair bir bulguya ulaşılmadığını da aktardı.

Sorunlu Sürüm Belli Oldu, Güncelleme Çağrısı Yapıldı

Microsoft, güvenlik açığının EngageSDK’nın 4.5.4 sürümünde tespit edildiğini, sorunun ise 3 Kasım 2025 tarihinde yayımlanan 5.2.1 sürümüyle giderildiğini açıkladı. Şirket, bu yazılımı kullanan geliştiricilere en güncel sürüme geçmeleri çağrısında bulundu. Ayrıca Android tarafında da ek otomatik korumaların devreye alındığı ve daha önce savunmasız bir uygulama indiren kullanıcıların bu korumalardan yararlandığı ifade edildi.