BitsLab 發起的 “Web3 護航計劃” 協助某知名錢包 Android 客戶端修復任意通知偽造漏洞

深潮 TechFLOW 消息，5 月 14 日，在 BitsLab 發起的 “Web3 護航計劃”中，安全團隊發現某知名錢包 Android 客戶端存在任意通知偽造漏洞，並協助其完成修復。 該漏洞源於客戶端代碼中的設計缺陷，攻擊者可通過傳入特定 notification 參數，調用該錢包 App 可導出的敏感組件方法，從而啟動前台服務，向用戶設備發送任意內容的通知信息。 由於漏洞可在用戶正常使用錢包 App 時被觸發，惡意攻擊者可藉此手段向用戶推送釣魚信息，盜竊錢包私鑰，構成嚴重的安全威脅。

BitsLab 團隊在收錄該漏洞後，迅速展開全面的技術分析，深入剖析漏洞成因與攻擊路徑，提出了精準的修復方案，協助該錢包 App 成功規避信息洩露與釣魚攻擊風險，顯著提升其隱私保護能力與系統安全性。 同時，BitsLab 建議所有項目方自查其 Android 客戶端是否存在敏感組件未妥善處理的問題，以防範類似風險。

此次發現並協助修復該知名錢包 Android 客戶端的高質量漏洞，不僅保障了錢包用戶的資產安全，也再次體現了 BitsLAB 團隊與 “Web3 護航計劃” 在全球區塊鏈生態安全建設中的重要價值與卓越貢獻。 BitsLab 也鼓勵更多項目加入我們公益性的“Web3 護航計劃”，共同築牢 Web3 世界的安全防線。