Уязвимость Unity Android может опустошить криптокошельки геймеров: как защитить себя

Платформа для игр Unity тихо внедряет исправление уязвимости, которая позволяет запускать сторонний код в мобильных играх на базе Android, что потенциально может угрожать мобильным криптовалютным кошелькам, согласно двум анонимным источникам.

По словам источников, уязвимость затрагивает проекты, начиная с 2017 года, и в первую очередь влияет на Android, однако системы Windows, macOS и Linux также подвержены в разной степени.

Unity начала частную рассылку исправлений и отдельного инструмента для патчинга выбранным партнёрам, сообщили источники, однако публичные рекомендации ожидаются только в понедельник или вторник на следующей неделе.

Cointelegraph обратился в Unity за дополнительной информацией, но не получил немедленного ответа.

Представитель Google сообщил Cointelegraph, что они осведомлены об уязвимости.

«Unity предоставляет патч разработчикам приложений для устранения этой проблемы, и разработчики должны немедленно обновить свои приложения», — сказал представитель.

«Google Play поможет разработчикам как можно быстрее выпустить обновлённые версии своих приложений. Согласно нашим текущим данным, вредоносные приложения, использующие эту уязвимость, не обнаружены в Play», — добавил он.

Unity — один из самых популярных игровых движков в мире

Unity Technologies, базирующаяся в Сан-Франциско, стоит за Unity — ведущей платформой инструментов для создателей игр, приложений и интерактивных опытов в реальном времени на различных платформах. По данным компании, Unity используется более чем в 70% из тысячи самых популярных мобильных игр, а более 50% новых мобильных игр создаются на Unity.

Harold Halibut: одна из последних игр, созданных на движке Unity. Источник: Unity

Потенциальная угроза для криптовалютных кошельков

Источники описали угрозу как «инъекцию кода в процессе», но не подтвердили, возможно ли полное захватывание устройства. Однако они отметили, что в определённых условиях уязвимость может привести к компрометации устройства на уровне Android.

Даже без полного доступа к устройству вредоносный код может «пытаться создавать наложения, перехватывать ввод или снимать скриншоты», что может быть направлено на получение личных данных или seed-фраз криптовалютных кошельков, предупреждают источники.

Как защитить себя

Источники советуют мобильным геймерам обновлять все игры на базе Unity по мере выхода патчей и избегать установки приложений из неофициальных или сторонних магазинов, а также загрузки Android Application Packages (APK) с сайтов.

Приложения, установленные в обход Google Play, не проходят проверку системами безопасности Google Play, поэтому злоумышленники могут распространять изменённые версии легитимных игр с использованием уязвимости Unity. Такие приложения также не будут автоматически получать обновления безопасности или патчи при выпуске исправлений Unity.

Пользователям также рекомендуется проверять разрешения на устройстве и отключать ненужные наложения или сервисы доступности, работающие во время игры.

Наконец, следует практиковать разделение рисков — хранить криптовалютные кошельки на отдельном устройстве или аккаунте, отличном от игрового.

Это развивающаяся ситуация, и по мере появления новой информации она будет добавляться.