EngageLab gibt eine offizielle Sicherheitserklärung zu einer in der Microsoft Defender-Forschung identifizierten Android-SDK-Lücke aus

(SeaPRwire) –   Schwachstelle vollständig in SDK v5.2.1 behoben fünf Monate vor der öffentlichen Offenlegung; keine bestätigte Ausnutzung in der Praxis

SINGAPUR, 15. April 2026 — EngageLab, eine KI-First-Kundenbindungsplattform, veröffentlichte heute eine offizielle Sicherheitserklärung, die auf die Intent-Redirection-Schwachstelle in seinem Android SDK eingeht, die in einem Blogbeitrag des Microsoft Defender Security Research Teams vom 9. April 2026 detailliert beschrieben wurde.

Die Schwachstelle, die in SDK-Version 4.5.4 identifiziert wurde, betraf eine exportierte Android-Aktivitätskomponente (MTCommonActivity), die von einer bösartigen Anwendung, die auf demselben Gerät installiert ist, ausgenutzt werden könnte, um unbefugten Zugriff auf private Daten innerhalb von Apps zu erhalten, die die betroffene SDK-Version integrieren. EngageLab wurde im Mai 2025 vom Google Security Team über das Problem informiert und arbeitete gemeinsam an einem mehrstufigen Behebungsprozess.

Eine vollständige Behebung wurde am 3. November 2025 mit SDK v5.2.1 veröffentlicht. Am 2. Dezember 2025 verifizierte das Google Security Team unabhängig, dass die Schwachstelle vollständig behoben wurde. Zum jetzigen Zeitpunkt ist keine Ausnutzung dieser Schwachstelle in der Praxis bestätigt.

Bevor die Schwachstelle breitere öffentliche Aufmerksamkeit erlangte, hatte EngageLab seine Entwickler-Community bereits im Februar 2026 proaktiv auf das Sicherheitsrisiko hingewiesen – mehr als zwei Monate, bevor der Microsoft-Blogbeitrag veröffentlicht wurde – und später im Monat eine Erinnerung gesendet.

„Sicherheit ist grundlegend für alles, was wir bauen“, sagte Zhang Qing, CTO von EngageLab. „Als das Google Security Team uns darauf aufmerksam machte, behandelten wir es mit höchster Priorität. Der Behebungsprozess beinhaltete mehrere Runden unabhängiger Verifizierung mit dem Google Security Team, um sicherzustellen, dass die Lösung in jeder Phase vollständig war – nicht nur das Bestehen eines einzelnen Kontrollpunkts. Diese Genauigkeit erfordert Zeit, und wir glauben, dass es der richtige Ansatz war. Wir sind zu vollständiger Transparenz gegenüber unserer Entwickler-Community verpflichtet und werden weiterhin in die Prozesse und Praktiken investieren, die unser SDK vertrauenswürdig halten.“

Google Play hat inzwischen seine Durchsetzungsmaßnahmen aktualisiert, um Benutzer auf Geräten zu schützen, auf denen Apps mit anfälligen SDK-Versionen ausgeführt werden, während Entwickler, die auf v5.2.1 aktualisiert haben, vollständig geschützt sind. Entwicklern, die noch SDK-Versionen unter v5.2.1 integrieren, wird dringend empfohlen, sofort ein Upgrade durchzuführen.

EngageLab hat auch eine Reihe von Verbesserungen der Sicherheitsprozesse skizziert, die als Reaktion auf diesen Vorfall implementiert wurden, darunter obligatorische zusammengeführte Manifest-Audits vor allen zukünftigen SDK-Releases, automatische statische Analysen für exportierte Komponentenkonfigurationen und die laufende Einrichtung eines formellen öffentlichen Sicherheitsberatungsprogramms, um eine zeitnahe Offenlegung zukünftiger Sicherheitsprobleme zu gewährleisten.

Die vollständige Sicherheitserklärung des Unternehmens, einschließlich eines vollständigen Zeitplans für die Behebung, einer technischen Analyse und einer Upgrade-Anleitung für Entwickler, ist verfügbar unter: https://www.engagelab.com/blog/security-statement-android-sdk-intent-redirection-vulnerability

Über EngageLab

EngageLab ist eine KI-First-Kundenbindungsplattform, die Ihnen hilft, stärkere Kundenbeziehungen mit KI-Agenten, einheitlichen Kundendaten und zuverlässiger Zustellung über Kanäle hinweg aufzubauen.

Medienkontakt

EngageLab Security Team: security@engagelab.com