Уразливість Unity Android може спустошити криптогаманці геймерів: як захистити себе

Платформа для ігор Unity тихо впроваджує виправлення для вразливості, яка дозволяє сторонньому коду запускатися в мобільних іграх на базі Android, що потенційно може націлюватися на мобільні криптогаманці, згідно з двома анонімними джерелами.

Вразливість впливає на проекти, що датуються ще 2017 роком, повідомляють джерела, додаючи, що вразливість в основному стосується Android, але також у певній мірі впливає на Windows, macOS та Linux.

За словами джерел, Unity почала приватно розповсюджувати виправлення та окремий інструмент для патчінгу вибраним партнерам, але публічні інструкції очікуються не раніше понеділка або вівторка наступного тижня.

Cointelegraph звернувся до Unity за додатковою інформацією, але не отримав негайної відповіді.

Речник Google повідомив Cointelegraph, що вони знають про вразливість.

«Unity надає патч розробникам додатків для усунення цієї проблеми, і розробники повинні негайно оновити свої додатки», — сказав речник.

«Google Play допоможе розробникам якнайшвидше випустити оновлені версії своїх додатків. Згідно з нашими поточними виявленнями, шкідливі додатки, які експлуатують цю вразливість, не знайдені на Play», — додали вони.

Unity — один із найпопулярніших ігрових рушіїв у світі

Unity Technologies із Сан-Франциско стоїть за Unity — провідною платформою інструментів для творців, щоб створювати та розвивати ігри, додатки та досвіди в реальному часі на різних платформах. За даними компанії, Unity забезпечує понад 70% із тисячі найкращих мобільних ігор, а понад 50% нових мобільних ігор створюються на Unity.

Harold Halibut: одна з останніх ігор, створених на рушії Unity. Джерело: Unity

Потенційна загроза для криптогаманців

Джерела описали загрозу як «інжекцію коду в процесі», але не підтвердили, чи можуть пристрої бути повністю захоплені. Однак джерела зазначили, що за певних умов це може призвести до компрометації пристрою на Android.

Навіть без повного доступу до пристрою шкідливий код може «спробувати накладання, захоплення введення або зчитування екрана», що може націлюватися на особисті облікові дані або seed-фрази криптогаманців, попереджають джерела.

Як захистити себе

Джерела радять мобільним гравцям оновлювати всі ігри на базі Unity у міру виходу патчів і уникати сайдлоудингу, тобто встановлення додатків із неофіційних або сторонніх магазинів додатків чи завантаження Android Application Packages (APK) із вебсайтів.

Сайдлоудингові додатки не проходять перевірку системами безпеки Google Play, тому зловмисники можуть розповсюджувати модифіковані версії легітимних ігор, які експлуатують вразливість Unity. Такі додатки також не отримають автоматичних оновлень безпеки чи патчів, коли Unity випустить виправлення.

Користувачам також слід перевірити дозволи на своїх пристроях і вимкнути непотрібні накладання чи служби доступності, які працюють під час гри.

Нарешті, слід дотримуватися розділення ризиків, зберігаючи криптогаманці на окремому пристрої або обліковому записі від ігор.

Це нова історія, і додаткова інформація буде додана, як тільки вона стане доступною.