BitsLab 发起的 “Web3 护航计划” 协助某知名钱包 Android 客户端修复任意通知伪造漏洞

深潮 TechFlow 消息，5 月 14 日，在 BitsLab 发起的 “Web3 护航计划”中，安全团队发现某知名钱包 Android 客户端存在任意通知伪造漏洞，并协助其完成修复。该漏洞源于客户端代码中的设计缺陷，攻击者可通过传入特定 notification 参数，调用该钱包 App 可导出的敏感组件方法，从而启动前台服务，向用户设备发送任意内容的通知信息。由于漏洞可在用户正常使用钱包 App 时被触发，恶意攻击者可借此手段向用户推送钓鱼信息，盗窃钱包私钥，构成严重的安全威胁。

BitsLab 团队在收录该漏洞后，迅速展开全面的技术分析，深入剖析漏洞成因与攻击路径，提出了精准的修复方案，协助该钱包 App 成功规避信息泄露与钓鱼攻击风险，显著提升其隐私保护能力与系统安全性。同时，BitsLab 建议所有项目方自查其 Android 客户端是否存在敏感组件未妥善处理的问题，以防范类似风险。

此次发现并协助修复该知名钱包 Android 客户端的高质量漏洞，不仅保障了钱包用户的资产安全，也再次体现了 BitsLab 团队与 “Web3 护航计划” 在全球区块链生态安全建设中的重要价值与卓越贡献。BitsLab 也鼓励更多项目加入我们公益性的“Web3 护航计划”，共同筑牢 Web3 世界的安全防线。