В Unity выявлена критическая уязвимость, которая позволяет сторонним лицам внедрять вредоносный код в мобильные игры. Наибольшему риску подвержены пользователи Android, однако проблема также затрагивает Windows, macOS и Linux.
Характер уязвимости
Проблема касается проектов, созданных на Unity начиная с 2017 года. Угроза связана с «in-process code injection», то есть внедрением стороннего кода в работающие процессы. В некоторых случаях это может привести к компрометации устройства на уровне системы Android.
Даже без полного контроля над устройством вредоносный код способен перехватывать ввод, создавать наложения или собирать данные с экрана. Это делает уязвимость особенно опасной для владельцев криптокошельков: атаки могут быть направлены на кражу сид-фраз и персональных данных.
Реакция Unity и Google
Unity пока не комментирует ситуацию публично. Известно, что компания уже распространяет исправления и отдельный инструмент для устранения бага среди избранных партнеров, но публичная инструкция ожидается только на следующей неделе.
Google заявил, что в курсе проблемы и поддержит разработчиков в ускоренном выпуске обновленных версий игр. Представитель компании отметил, что на данный момент на площадке Google Play не зафиксировано приложений, использующих эту уязвимость.
Рекомендации для пользователей
Сооснователь криптобиржи CoinDCX и кошелька Okto Нирадже Ханделвал (Neeraj Khandelwal) предупредил, что игроки, использующие мобильные криптокошельки, особенно уязвимы. Он рекомендует обновлять игры на Unity сразу после выхода патчей, избегать установки APK-файлов вне официальных магазинов и разделять устройства для игр и для хранения криптовалюты.
Проблема актуальна главным образом для Android-пользователей. Владельцам iPhone уязвимость не угрожает.
Читайте также:
- Масштабная атака на NPM: под угрозой кошельки и dApp
- Mosyle обнаружила вирус, крадущий криптокошельки на всех ОС
- Атака на Shibarium привела к потере $2,4 млн и блокировке функций сети
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.