Kerentanan EngageLab SDK Bocorkan Data 50 Juta Pengguna Android Termasuk 30 Juta Dompet Kripto

Kerentanan EngageLab SDK baru-baru ini terungkap telah mengekspos data lebih dari 50 juta pengguna Android, termasuk sekitar 30 juta pengguna dompet kripto. Masalah ini ditemukan pada sebuah perangkat lunak pengembangan aplikasi pihak ketiga populer bernama EngageLab SDK, yang sempat menjadi risiko keamanan serius hingga akhirnya diperbaiki pada November 2025.

Fungsi EngageLab SDK dan Dampak Kerentanannya

EngageLab SDK adalah sebuah layanan notifikasi push yang banyak digunakan oleh pengembang aplikasi Android untuk mengirimkan notifikasi tepat waktu berdasarkan perilaku pengguna. Dengan SDK ini, aplikasi bisa mengirim pesan yang dipersonalisasi untuk meningkatkan keterlibatan pengguna secara real-time.

Sayangnya, SDK ini memiliki celah keamanan yang memungkinkan aplikasi lain di perangkat yang sama untuk melewati sandbox keamanan Android dan mengakses data pribadi secara tidak sah. Hal ini terutama berbahaya bagi aplikasi dompet kripto yang mengelola aset digital pengguna.

Skala Eksposur dan Penanganan Kerentanan

Berdasarkan laporan dari Microsoft Defender Security Research Team, sekitar 30 juta instalasi dompet kripto yang menggunakan EngageLab SDK terdampak. Jika digabungkan dengan aplikasi non-dompet yang memakai SDK ini, jumlah instalasi terdampak mencapai lebih dari 50 juta.

Microsoft tidak mengungkapkan nama-nama aplikasi yang rentan, namun menegaskan bahwa semua aplikasi yang menggunakan versi SDK bermasalah telah dihapus dari Google Play Store. Kerentanan ini pertama kali dilaporkan pada April 2025, dan EngageLab merilis versi 5.2.1 pada November 2025 sebagai patch resmi untuk menutup celah ini.

Penjelasan Teknis Kerentanan Intent Redirection

Masalah utama terletak pada intent redirection di Android. Intent adalah objek pesan yang digunakan untuk meminta aksi dari komponen aplikasi lain. Kerentanan terjadi ketika isi intent yang dikirim oleh aplikasi rentan dapat dimanipulasi oleh aplikasi jahat lain di perangkat yang sama, memanfaatkan konteks kepercayaan dan izin yang dimiliki aplikasi rentan.

Eksploitasi dapat memungkinkan pencurian data sensitif atau eskalasi hak akses dalam lingkungan Android, misalnya dengan mengakses direktori internal aplikasi yang mengintegrasikan SDK tersebut. Walaupun tidak ada bukti bahwa kerentanan ini pernah disalahgunakan secara nyata, ancamannya sangat serius mengingat nilai tinggi data digital yang disimpan di aplikasi seperti dompet kripto.

Rekomendasi dan Implikasi Keamanan SDK Pihak Ketiga

Microsoft mengimbau pengembang aplikasi yang menggunakan EngageLab SDK untuk segera memperbarui ke versi terbaru guna menghindari risiko keamanan. Kasus ini menyoroti betapa lemahnya ketergantungan pada SDK pihak ketiga dalam ekosistem aplikasi dapat menimbulkan risiko rantai pasokan yang luas dan sulit diprediksi.

• SDK rentan dapat menyebabkan pelanggaran data berskala besar, terutama di sektor bernilai tinggi seperti pengelolaan aset digital.
• Integrasi SDK yang tidak tervalidasi dengan baik meningkatkan risiko komponen aplikasi terekspos tanpa pengamanan.
• Pengguna dan pengembang harus sadar akan potensi bahaya dari ketergantungan berlebihan pada pustaka eksternal.

Analisis Redaksi

Menurut pandangan redaksi, insiden kerentanan EngageLab SDK ini menjadi pengingat pentingnya pengawasan ketat terhadap komponen pihak ketiga dalam pengembangan aplikasi, terutama yang menyangkut data sensitif seperti aset kripto. Supply chain security atau keamanan rantai pasokan perangkat lunak kini menjadi tantangan utama yang harus dihadapi oleh seluruh ekosistem digital.

Selain itu, meskipun belum ada bukti eksploitasi, potensi dampak yang dapat ditimbulkan sangat besar. Ini menuntut pengembang untuk lebih proaktif dalam melakukan audit dan pembaruan berkala terhadap SDK yang mereka gunakan agar menghindari celah keamanan yang dapat dimanfaatkan pihak jahat.

Ke depan, pengguna juga perlu lebih selektif memilih aplikasi yang diunduh dan memantau pembaruan keamanan secara rutin. Sementara itu, regulator dan platform distribusi aplikasi seperti Google Play Store harus terus meningkatkan mekanisme deteksi dan pencegahan risiko dari SDK berbahaya agar keamanan pengguna tetap terjaga.

Untuk informasi lebih lengkap dan update terbaru terkait keamanan Android dan pengelolaan data kripto, Anda dapat mengikuti berita kami di The Hacker News dan sumber terpercaya lainnya.