Luka w Unity na Androidzie może opróżnić portfele kryptowalutowe graczy: Jak się chronić

Platforma do gier Unity po cichu wprowadza poprawkę dla luki, która pozwala na uruchamianie kodu stron trzecich w grach mobilnych opartych na Androidzie, co potencjalnie może stanowić zagrożenie dla mobilnych portfeli kryptowalutowych, według dwóch anonimowych źródeł.

Luka dotyczy projektów sięgających 2017 roku, jak podają źródła, które dodały, że luka dotyczy głównie Androida, ale systemy Windows, macOS i Linux są również dotknięte w różnym stopniu.

Według źródeł, Unity rozpoczęło prywatną dystrybucję poprawek oraz samodzielnego narzędzia do łatania wybranym partnerom, jednak publiczne wytyczne mają pojawić się dopiero w poniedziałek lub wtorek przyszłego tygodnia.

Cointelegraph skontaktował się z Unity w celu uzyskania dalszych informacji, ale nie otrzymał natychmiastowej odpowiedzi.

Rzecznik Google powiedział Cointelegraph, że są świadomi tej luki.

„Unity udostępnia poprawkę deweloperom aplikacji, aby rozwiązać ten problem, a deweloperzy powinni natychmiast zaktualizować swoje aplikacje” – powiedział rzecznik.

„Google Play będzie wspierać deweloperów w jak najszybszym wydaniu zaktualizowanych wersji ich aplikacji. Na podstawie naszych obecnych wykryć, złośliwe aplikacje wykorzystujące tę lukę nie zostały znalezione w Play” – dodał.

Unity to jeden z najpopularniejszych silników gier na świecie

Unity Technologies z San Francisco stoi za Unity, wiodącą platformą narzędzi dla twórców do budowania i rozwijania gier, aplikacji i doświadczeń w czasie rzeczywistym na wielu platformach. Według firmy, Unity napędza ponad 70% tysiąca najpopularniejszych gier mobilnych, a ponad 50% nowych gier mobilnych powstaje w Unity.

Harold Halibut: jedna z najnowszych gier stworzonych na silniku Unity. Źródło: Unity

Potencjalne zagrożenie dla portfeli kryptowalutowych

Źródła opisały zagrożenie jako „in-process code injection”, ale nie potwierdziły, czy urządzenia mogą zostać przejęte. Jednak według źródeł, luka ta może prowadzić do kompromitacji urządzenia na poziomie systemu Android w określonych warunkach.

Nawet bez pełnego dostępu do urządzenia, złośliwy kod może „próbować nakładek, przechwytywania danych wejściowych lub zrzutów ekranu”, co może być wymierzone w dane uwierzytelniające lub frazy seed portfeli kryptowalutowych, ostrzegają źródła.

Jak się chronić

Źródła zalecają graczom mobilnym aktualizowanie wszystkich gier opartych na Unity, gdy tylko pojawią się poprawki, oraz unikanie sideloadingu, czyli instalowania aplikacji z nieoficjalnych lub zewnętrznych sklepów z aplikacjami lub pobierania plików Android Application Packages (APK) ze stron internetowych.

Aplikacje instalowane poza Google Play nie są sprawdzane przez systemy bezpieczeństwa Google Play, więc złośliwi aktorzy mogą dystrybuować zmodyfikowane wersje legalnych gier wykorzystujących lukę w Unity. Takie aplikacje nie otrzymają również automatycznie aktualizacji zabezpieczeń ani poprawek, gdy Unity wyda poprawki.

Użytkownicy powinni także sprawdzić uprawnienia swoich urządzeń i wyłączyć niepotrzebne nakładki lub usługi dostępności działające podczas grania.

Wreszcie, należy stosować segregację ryzyka, czyli przechowywać portfele kryptowalutowe na osobnym urządzeniu lub koncie niż gry.

To jest rozwijająca się historia, a dalsze informacje zostaną dodane, gdy tylko będą dostępne.