GoPlus: Lỗ hổng nghiêm trọng Engagelab SDK đe dọa 30 triệu ví mã hóa

GoPlus cảnh báo lỗ hổng nghiêm trọng trong EngageLab SDK (Android) có thể bị khai thác để truy cập trái phép và đánh cắp khóa riêng cùng thông tin đăng nhập, ảnh hưởng hơn 50 triệu người dùng Android, trong đó khoảng 30 triệu là người dùng ví tiền điện tử.

Sự cố liên quan một SDK phổ biến dùng cho thông báo đẩy, nên có thể tác động diện rộng tới nhiều ứng dụng đã tích hợp thành phần này, đặc biệt là các ứng dụng ví tiền điện tử và tài chính.

GoPlus cho biết kẻ tấn công có thể cài một ứng dụng độc hại “ngụy trang” như ứng dụng hợp pháp trên thiết bị nạn nhân. Từ đó, ứng dụng độc hại gửi các Intent độc hại đến những ứng dụng khác có tích hợp EngageLab SDK.

Cơ chế này có thể dẫn tới hành vi vượt quyền truy cập (unauthorized access) và các hậu quả như đánh cắp khóa riêng, thông tin đăng nhập và dữ liệu nhạy cảm khác. Theo cảnh báo, phạm vi ảnh hưởng ước tính vượt 50 triệu người dùng Android, với khoảng 30 triệu người dùng thuộc nhóm ví tiền điện tử.

GoPlus khuyến nghị nhà phát triển và đơn vị phát hành ứng dụng nâng cấp EngageLab SDK lên phiên bản 4.5.5 trở lên để vá lỗi. Với người dùng phổ thông, GoPlus đề xuất cập nhật ngay các ứng dụng Android liên quan, ưu tiên ví tiền điện tử và ứng dụng tài chính.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.