SDK-уязвимости крипто-кошельков: скрытая угроза внутри приложений

Исследователи SecurityWeek обнаружили критические уязвимости в SDK (Software Development Kit) третьих сторон, которые используются в популярных мобильных крипто-кошельках. Слабое звено — не сам кошелёк и не его криптографический механизм, а вспомогательные библиотеки: SDK для аналитики, push-уведомлений, рекламы и обработки платежей.

Почему это опасно

Пользователи крипто-кошельков обычно оценивают безопасность по очевидным критериям: кастодиальный или некастодиальный, есть ли двухфакторная аутентификация, прошёл ли кошелёк аудит. Но уязвимость в SDK аналитики, встроенном глубоко в стек приложения, может предоставить атакующему доступ к приватным ключам — и пользователь об этом даже не узнает до момента потери средств.

Для разработчиков финтех- и крипто-приложений выводы очевидны: аудит зависимостей (включая транзитивные SDK) — не роскошь, а обязательный процесс. Каждая стороння библиотека — потенциальная точка входа для атакующего. Инструменты: Socket для анализа npm/PyPI зависимостей, Snyk для мобильных SDK, ручной аудит критических компонентов. В мире, где крипто-кошелёк хранит сбережения, уровень проверки должен соответствовать банковскому — а не стартапному.