Автор Chao Cheng Zedong тема Новости

Уязвимость в Unity на Android угрожает криптокошелькам

Уязвимость в Unity на Android угрожает криптокошелькам

Платформа Unity для игр тайно устраняет уязвимость, позволяющую стороннему коду запускаться в мобильных играх на Android, что потенциально может угрожать криптокошелькам, сообщают два анонимных источника.

Уязвимость затрагивает проекты с 2017 года и, по словам источников, в основном затрагивает Android, хотя системы Windows, macOS и Linux также подвержены в различной степени.

Unity начала распространять исправления и отдельный инструмент для патча среди выбранных партнеров, однако публичные рекомендации ожидаются лишь в понедельник или вторник на следующей неделе.

Google уведомлена об уязвимости. Представитель Google сообщил, что Unity предоставляет патч разработчикам приложений для устранения этой проблемы, и разработчикам необходимо незамедлительно обновить свои приложения.

«Google Play поддержит помощь разработчикам в выпуске обновленных версий приложений как можно быстрее. Основываясь на наших текущих данных, зловредные приложения, использующие эту уязвимость, пока не обнаружены на Play», — добавил он.

Unity — один из самых популярных игровых движков в мире

Базирующаяся в Сан-Франциско компания Unity Technologies разработала Unity, ведущую платформу инструментов для создания и развития игр, приложений и опыта в реальном времени на различных платформах. Unity обеспечивает более 70% из тысячи лучших мобильных игр, и более 50% новых мобильных игр создается именно на этой платформе.

Harold Halibut: одна из последних игр, созданных на движке Unity. Источник: Unity

Потенциальная угроза для криптокошельков

Источник описал угрозу как «внедрение кода в процессе», но не подтвердил, может ли произойти захват устройств. Тем не менее, он сказал, что при определенных условиях это может привести к компрометации устройства на Android.

Хотя полный доступ к устройству может и не быть получен, вредоносный код потенциально может накладывать оверлеи, фиксировать ввод данных или снимать экранные копии, что дает возможность атаковать личные данные или начальные фразы криптокошельков.

Как защитить себя

Источники рекомендуют мобильным игрокам обновлять все основанные на Unity игры по мере выпуска патчей и избегать загрузки приложений из неофициальных или сторонних магазинов, а также скачивания APK-файлов с веб-сайтов.

Приложения, загруженные из неофициальных источников, не проверяются системами безопасности Google Play, и злоумышленники могут распространять измененные версии легитимных игр, использующих уязвимость Unity. Также такие приложения не будут автоматически получать обновления безопасности или патчи, когда Unity выпустит исправления.

Пользователям следует также проверять разрешения своих устройств и отключать ненужные оверлеи или службы доступности, работающие во время игр.

Наконец, следует разделять риски, обеспечивая хранение криптокошельков на отдельном устройстве или аккаунте от игрового.

Эта история развивается, и дополнительная информация будет добавлена по мере поступления.