Игровая платформа Unity тихо развертывает исправление для уязвимости, которая позволяет стороннему коду выполняться в мобильных играх на Android. По словам двух источников, попросивших не раскрывать свои имена, это потенциально может быть направлено на мобильные криптокошельки.
По словам источников, уязвимость затрагивает проекты, датируемые 2017 годом. Они добавили, что уязвимость в основном затрагивает Android, но в различной степени также влияет на системы Windows, macOS и Linux.
По словам источников, Unity начала конфиденциально распространять исправления и автономный инструмент для установки патчей избранным партнерам, но публичные инструкции ожидаются не раньше понедельника или вторника на следующей неделе.
Cointelegraph связался с Unity для получения дополнительной информации, но не получил немедленного ответа.
Представитель Google сообщил Cointelegraph, что компания знает об уязвимости.
«Unity предоставляет разработчикам приложений патч для исправления этой проблемы, и разработчикам следует немедленно обновить свои приложения», — сказал представитель.
«Google Play поддержит разработчиков в максимально быстрой публикации исправленных версий своих приложений. По нашим текущим данным, вредоносные приложения, использующие эту уязвимость, не обнаружены в Play», — добавил он.
Unity — один из самых популярных игровых движков в мире
Компания Unity Technologies, базирующаяся в Сан-Франциско, является создателем Unity — ведущей платформы инструментов для создания и развития игр, приложений и интерактивных событий в реальном времени на различных платформах. По данным компании, Unity обеспечивает работу более 70% от лучших тысяч мобильных игр, и более 50% новых мобильных игр создаются в Unity.
Потенциальная угроза для криптокошельков
Источники описали угрозу как «внедрение кода в процессе», но не подтвердили, может ли это привести к захвату устройств. Однако источники заявили, что в определенных условиях это может привести к компрометации устройства на уровне Android.
Даже без полного доступа к устройству вредоносный код может «попытаться использовать наложения, перехват ввода или скриншоты», что может быть направлено на личные учетные данные или seed-фразы криптокошельков, предупреждают источники.
Как защитить себя
Источники рекомендуют мобильным геймерам обновлять любые игры, созданные на Unity, по мере выхода исправлений, и избегать sideloading — установки приложений из неофициальных или сторонних магазинов приложений или загрузки Android Application Packages (APKs) с веб-сайтов.
Sideloaded-приложения не проходят проверку системами безопасности Google Play, поэтому злоумышленники могут распространять измененные версии легитимных игр, использующих уязвимость Unity. Sideloaded-приложения также не будут автоматически получать обновления безопасности или патчи при выпуске исправлений Unity.
Пользователям также следует проверить разрешения своих устройств и отключить ненужные наложения или службы специальных возможностей, работающие во время игры.
Наконец, рекомендуется использовать разделение рисков, при котором криптокошельки хранятся на отдельном устройстве или учетной записи от игровой.
Эта история развивается, и дополнительная информация будет добавлена по мере ее поступления.
