Peringatan Darurat GoPlus: Kerentanan berisiko tinggi pada EngageLab SDK, kunci privat dompet kripto berpotensi bocor untuk 30 juta dompet terenkripsi

Platform keamanan blockchain GoPlus merilis peringatan darurat pada 10 April, yang menyatakan bahwa terdapat kerentanan keamanan serius pada EngageLab SDK yang banyak digunakan untuk notifikasi push di Android. Kerentanan ini berdampak pada lebih dari 50 juta pengguna Android, di antaranya sekitar 30 juta adalah pengguna dompet mata uang kripto. Penyerang dapat memasang malware yang menyamar sebagai aplikasi yang sah pada perangkat korban, untuk mencuri kunci privat dompet kripto dan kredensial login.

Prinsip teknis kerentanan: rantai serangan lintas aplikasi yang dieksekusi secara senyap

(Sumber: GoPlus)

Cacat utama kerentanan ini adalah bahwa EngageLab SDK tidak melakukan verifikasi sumber yang memadai terhadap mekanisme komunikasi Intent di Android. Intent adalah mekanisme yang sah untuk saling bertukar perintah antar aplikasi di Android, namun implementasi EngageLab SDK memungkinkan perintah dari sumber yang tidak diotorisasi untuk melewati proses verifikasi normal, sehingga memicu aplikasi target menjalankan operasi sensitif.

Tiga langkah lengkap rantai serangan

Sisipan aplikasi berbahaya: Penyerang menyamarkan malware sebagai App yang sah, sehingga mendorong korban untuk menginstalnya pada perangkat Android yang sama

Suntikan Intent berbahaya: Aplikasi berbahaya mengirimkan Intent berbahaya yang dirancang dengan cermat kepada dompet kripto atau aplikasi keuangan yang telah mengintegrasikan EngageLab SDK pada perangkat yang sama

Eksekusi operasi tanpa izin (eskalasi hak): Setelah aplikasi target menerima Intent, aplikasi tersebut menjalankan operasi yang tidak diotorisasi tanpa sepengetahuan pengguna, termasuk pencurian kunci privat dompet, kredensial login, dan data sensitif lainnya

Bahaya terbesar dari rantai serangan ini terletak pada sifatnya yang senyap: korban tidak perlu melakukan tindakan apa pun. Selama perangkat memiliki aplikasi berbahaya dan aplikasi yang berisi versi EngageLab SDK yang rentan, serangan dapat diselesaikan di latar belakang.

Skala dampak: risiko kerugian aset yang tidak dapat dipulihkan bagi pengguna kripto

Karena EngageLab SDK adalah komponen dasar notifikasi push yang digunakan secara luas dan diintegrasikan ke dalam ribuan aplikasi Android, cakupan dampak kerentanan ini mencapai skala 50 juta perangkat. Di antaranya, sekitar 30 juta adalah pengguna dompet mata uang kripto.

Begitu kunci privat dompet kripto bocor, penyerang dapat sepenuhnya mengendalikan aset on-chain korban. Selain itu, sifat transaksi blockchain yang tidak dapat diubah berarti kerugian seperti ini hampir tidak mungkin dipulihkan, sehingga tingkat risikonya jauh melampaui insiden kebocoran data aplikasi pada umumnya.

Langkah penanganan darurat: daftar tindakan segera untuk pengembang dan pengguna

Rekomendasi keamanan per kelompok

1. Pengembang dan vendor aplikasi

· Segera verifikasi apakah produk mengintegrasikan EngageLab SDK, dan pastikan versi saat ini lebih rendah dari 4.5.5

· Tingkatkan ke EngageLab SDK 4.5.5 atau versi perbaikan resmi yang lebih tinggi (silakan lihat dokumen resmi EngageLab)

· Rilis ulang versi yang sudah diperbarui, dan beri tahu pengguna agar segera menyelesaikan pembaruan

2. Pengguna Android biasa

· Segera buka Google Play untuk memperbarui semua aplikasi, dengan prioritas menangani aplikasi dompet kripto dan aplikasi keuangan

· Tetap waspada terhadap aplikasi yang diunduh dari sumber yang tidak jelas atau jalur yang tidak resmi; hapus segera jika perlu

· Jika Anda mencurigai kunci privat sudah bocor, buat dompet baru di perangkat yang aman, pindahkan aset, dan nonaktifkan alamat lama secara permanen

Pertanyaan yang sering diajukan

Apa itu EngageLab SDK, dan mengapa diintegrasikan secara luas dalam dompet kripto?

EngageLab SDK adalah paket perangkat lunak pihak ketiga yang menyediakan fungsi notifikasi push untuk Android. Karena kemudahan saat di-deploy, banyak aplikasi mengadopsinya. Notifikasi push hampir merupakan fitur standar untuk semua aplikasi seluler, sehingga EngageLab SDK juga banyak ditemukan di dompet kripto dan aplikasi keuangan, yang pada akhirnya menyebabkan dampak kerentanan ini mencapai skala 50 juta pengguna.

Bagaimana cara memastikan apakah perangkat saya terdampak oleh kerentanan ini?

Jika perangkat Android Anda menginstal dompet kripto atau aplikasi keuangan, dan belum diperbarui ke versi terbaru, maka ada risiko terdampak. Disarankan untuk segera memperbarui semua aplikasi di Google Play Store. Pengembang dapat memverifikasi nomor versi SDK di dalam aplikasi untuk memastikan apakah mereka menggunakan EngageLab SDK versi yang lebih rendah dari 4.5.5.

Jika kunci privat sudah bocor, apa penanganan darurat yang harus dilakukan?

Segera buat alamat dompet baru di perangkat aman yang tidak terinfeksi, pindahkan semua aset dompet lama ke alamat baru tersebut, dan nonaktifkan alamat lama secara permanen. Lakukan perubahan serentak pada semua kata sandi login di platform terkait, dan aktifkan verifikasi dua langkah untuk akun guna menurunkan risiko terjadinya kompromi lebih lanjut.