微軟揭 Android EngageLab SDK 嚴重漏洞　恐波及 3,000 萬加密貨幣錢包 App、私鑰外洩風險飆升

根據 Microsoft（微軟）於 13 日公開的技術說明，Android 生態系中廣泛使用的軟體開發套件「EngageLab SDK」被曝存在嚴重「漏洞」，可能影響超過 5,000 萬個應用程式，其中約 3,000 萬個為加密貨幣「錢包」相關 App。外界憂心，若使用者未及時更新，錢包地址、種子片語與「私鑰」等敏感資訊恐面臨外洩風險。

微軟旗下「Defender Security Research Team」指出，團隊在 2025 年 4 月首次發現這項 EngageLab SDK「漏洞」，並於上週正式對外披露技術細節。問題核心在於 Android 平台上的「intent redirection」機制：惡意應用程式可向安裝了舊版 EngageLab SDK 的 App 發送特製訊息，誘使對方錯誤地將自身的資料存取權限轉交給攻擊者，等同繞過 Android 原本的「沙盒」防護隔離。

根據說明，微軟已在 2025 年 5 月將相關情資通報給 Google 及 Android 安全團隊，EngageLab 則隨後釋出修正版「SDK 5.2.1」，用以修補上述「漏洞」。不過，安全專家提醒，若使用者是透過外部網站或安裝檔（APK）側載 App，而非經由 Google Play 商店下載，這類應用程式往往不會自動通過 Google 的安全檢驗，風險相對更高。

微軟估算，受影響的應用程式數量超過 5,000 萬個，其中約有 3,000 萬個屬於加密貨幣「錢包」類 App。一旦裝置上同時存在至少一款受影響的錢包 App 與惡意應用程式，在使用者完全「無須操作」的情況下，攻擊就有機會悄悄完成，這也是此次事件在資安圈引發高度關注的主因。

多位資安研究人員警告，若使用者在 2025 年年中之後仍未替相關錢包 App 進行更新，單純的版本升級可能已不足以完全排除風險。「評論」：原因在於，一旦舊版本在漏洞存在期間曾經啟動且連網使用，即使後續打上補丁，先前可能已被竊取的「私鑰」與種子片語並不會自動失效。專家因此建議，曾在受影響期間使用過錢包 App 的用戶，應將原錢包視為「可能已遭入侵」，儘速生成全新的種子片語與新錢包地址，並將所有加密資產轉移至新「錢包」，才是相對安全的做法。

此次 EngageLab SDK「漏洞」事件，正值 Android 裝置晶片層資安疑慮頻傳、美國財政部推動與加密貨幣企業共享「網路威脅」情資等背景之下。業界分析認為，行動裝置端的「資安防護」，已成為保護加密貨幣(BTC)、以太幣(ETH)等數位資產時不可忽視的關鍵一環。「評論」：無論是一般散戶還是機構投資者，只要仍依賴手機錢包管理資產，就必須把作業系統更新、App 來源審查與錢包備份策略，視為加密投資風險管理的一部分，而非可有可無的附屬措施。