(SeaPRwire) – 漏洞已在 SDK v5.2.1 中完全解决,时间早于公开披露五个月;未确认有在野利用情况
新加坡,2026年4月15日 —— EngageLab,一家AI优先的客户互动平台,今日发布了一份官方安全声明,针对其 Android SDK 中的意图重定向漏洞进行了说明。该漏洞此前在 Microsoft Defender Security Research Team 于 2026年4月9日发布的博客文章中有详细描述。
该漏洞存在于 SDK 版本 4.5.4 中,涉及一个导出的 Android Activity 组件 (MTCommonActivity),安装在同一设备上的恶意应用程序可能利用该组件未经授权访问集成受影响 SDK 版本的应用程序内的私有数据。EngageLab 于 2025年5月收到 Google Security Team 关于此问题的通知,并协作进行了多阶段的修复流程。
完整的修复方案已于 2025年11月3日随 SDK v5.2.1 发布。2025年12月2日,Google Security Team 独立验证了该漏洞已完全解决。截至该日期,尚未确认该漏洞有任何在野利用情况。
在该漏洞引起更广泛的公众关注之前,EngageLab 已于 2026年2月主动向其开发者社区通报了这一安全风险——这比 Microsoft 博客文章的发布时间早了两个多月——并在当月晚些时候发布了后续提醒。
“安全是我们构建一切的基础,”EngageLab CTO 张青表示。“当 Google Security Team 提请我们注意此事时,我们将其视为最高优先级处理。修复过程涉及与 Google Security Team 进行的多轮独立验证,以确保修复在每个阶段都是完整的——而不仅仅是通过单个检查点。这种严谨性需要时间,但我们相信这是正确的方法。我们致力于对开发者社区保持完全透明,并将继续投资于保持我们 SDK 值得信赖的流程和实践。”
此后,Google Play 已更新其执行政策以保护运行包含易受攻击 SDK 版本应用程序的用户设备,而已升级到 v5.2.1 的开发者则完全受到保护。强烈建议仍在集成 v5.2.1 以下 SDK 版本的开发者立即升级。
EngageLab 还概述了针对此事件实施的一系列安全流程改进措施,包括在所有未来的 SDK 发布前进行强制性的合并清单审计、对导出组件配置进行自动化静态分析,以及正在建立正式的公共安全公告计划,以确保及时披露未来的安全问题。
公司的完整安全声明,包括完整的修复时间表、技术分析和开发者升级指南,可在以下网址获取: https://www.engagelab.com/blog/security-statement-android-sdk-intent-redirection-vulnerability
关于 EngageLab
EngageLab 是一个 AI 优先的客户互动平台,帮助您利用 AI 代理、统一的客户数据和跨渠道的可靠交付,建立更牢固的客户关系。
媒体联络
EngageLab 安全团队:security@engagelab.com
本文由第三方内容提供商提供。SeaPRwire (https://www.seaprwire.com/)对此不作任何保证或陈述。
分类: 头条新闻,日常新闻
SeaPRwire为公司和机构提供全球新闻稿发布,覆盖超过6,500个媒体库、86,000名编辑和记者,以及350万以上终端桌面和手机App。SeaPRwire支持英、日、德、韩、法、俄、印尼、马来、越南、中文等多种语言新闻稿发布。