Zero-days móveis e falhas de SDK estão minando a confiança nas carteiras e levando usuários sérios a assinaturas órfãs em vários dispositivos, estreitando seu alcance.
resumo
Um bug no EngageSDK da Microsoft e no exploit DarkSword iOS demonstram que mesmo carteiras “seguras” podem ser corrompidas por falhas do sistema operacional ou de pilha de terceiros. Essas falhas expuseram dezenas de milhões de instalações, provando que as auditorias em nível de aplicativo têm pouco valor quando os dispositivos e SDKs subjacentes estão comprometidos. Arquiteturas emergentes que enviam teclas inteiramente a partir do telefone, incluindo projetos de acesso antecipado como Lock.com, reduzem significativamente o raio de explosão ao custo do atrito UX.
A última onda de vulnerabilidades móveis revela mais uma vez quanta confiança os usuários de varejo depositam inconscientemente em kits de desenvolvimento de software (SDKs) e sistemas operacionais telefônicos de terceiros, e por que algumas equipes de segurança estão acelerando a transição para ambientes de assinatura totalmente isolados.
No início deste mês, a Microsoft detalhou uma falha crítica de redirecionamento de intenção no EngageSDK da EngageLab, uma biblioteca de notificação push Android amplamente usada incorporada em dezenas de aplicativos de carteira financeira e de criptomoeda. Esse bug pode permitir que aplicativos maliciosos no mesmo dispositivo sequestrem as intenções do Android, contornem a sandbox do sistema operacional e acessem dados confidenciais, credenciais e informações de transações armazenadas nas carteiras afetadas. A Microsoft estima que existam mais de 30 milhões de instalações de aplicativos de carteira vulneráveis e mais de 50 milhões de instalações de aplicativos em todas as categorias devido à exposição generalizada do SDK.
Paralelamente, o Threat Intelligence Group do Google publicou recentemente “Darksword”, uma sofisticada cadeia de exploração do iOS que reúne várias vulnerabilidades de dia zero para assumir o controle total de um dispositivo, extrair dados da carteira e limpar registros para encobrir seus rastros. Após essa descoberta, a Binance emitiu um comunicado ao usuário em março alertando que a campanha tinha como alvo usuários de alto valor em diversas regiões e dependia de sites comprometidos ou falsificados para fornecer explorações silenciosamente a dispositivos modernos.
Esses incidentes destacam questões estruturais. Mesmo um aplicativo de carteira bem auditado pode ser comprometido por bugs na pilha móvel subjacente, SDKs de terceiros ou nível de banda base que estão completamente fora do controle do desenvolvedor do aplicativo. Para os usuários que mantêm saldos significativos, a promessa de “aplicativos seguros” colide cada vez mais com a realidade de um ambiente de dispositivos hostil. Ambos os incidentes foram corrigidos desde então, as correções do EngageSDK foram enviadas em novembro de 2025 e a Apple lançou atualizações que resolvem as vulnerabilidades relacionadas ao DarkSword, mas o problema subjacente é estrutural e não resolvido por correções CVE individuais.
Uma resposta foi retirar totalmente o material essencial dos telefones de uso geral. Quantography Labs, a equipe por trás do Lock.com, está construindo uma plataforma de acesso antecipado em torno de um modelo de carteira criptografada dissociado que separa a construção e a assinatura da transação. Este modelo, diferentemente das carteiras de hardware tradicionais, não foi projetado para depender de firmware proprietário ou de uma cadeia de suprimentos de um único fornecedor. De acordo com a descrição da arquitetura do projeto, o aplicativo Lock.com Wallet foi projetado para ser executado nos dispositivos diários dos usuários para gerenciar portfólios e estruturar transações não assinadas, enquanto os assinantes associados devem residir em dispositivos offline dedicados que contêm as chaves privadas e sementes reais. No fluxo proposto, as transações são passadas entre a carteira e o assinante através de um canal restrito, como um código QR ou Bluetooth, e cada operação requer confirmação explícita do usuário na unidade offline antes que a transação assinada seja devolvida ao ambiente online.
Por design, essa arquitetura tenta evitar que uma ampla variedade de explorações móveis sejam catastróficas, desde bugs de SDK de redirecionamento de intenção até ataques de cadeia completa de iOS. Mesmo que um aplicativo ou sistema operacional comprometido obtenha o controle da interface da carteira online, ele não poderá extrair as chaves subjacentes ou assinar quaisquer movimentos sem acessar outro dispositivo signatário. Em outras palavras, a superfície de ataque diminui de “qualquer código executado no telefone” para “comprometimento físico de um assinante dedicado”.
Com os problemas de dia zero e SDK móveis surgindo continuamente, é provável que o setor veja mais experiências com assinaturas desacopladas e fluxos de autenticação de vários dispositivos. Para usuários preocupados com a segurança, a compensação é óbvia. Ao custo de reduzir o escopo da próxima exploração no nível do SDK ou do sistema operacional, há um ligeiro aumento no atrito durante as transações.
