Lỗ hổng Unity Android có thể làm cạn ví crypto của game thủ: Làm thế nào để bảo vệ bản thân

Nền tảng trò chơi Unity đang âm thầm triển khai bản vá cho một lỗ hổng bảo mật cho phép mã của bên thứ ba chạy trong các trò chơi di động dựa trên Android, điều này có thể nhắm mục tiêu vào ví crypto trên di động, theo hai nguồn tin ẩn danh.

Lỗ hổng này ảnh hưởng đến các dự án từ năm 2017, theo các nguồn tin, đồng thời cho biết thêm rằng lỗ hổng chủ yếu ảnh hưởng đến Android, nhưng các hệ thống Windows, macOS và Linux cũng bị ảnh hưởng ở các mức độ khác nhau.

Theo các nguồn tin, Unity đã bắt đầu phân phối các bản vá và công cụ vá độc lập một cách riêng tư cho các đối tác được chọn, nhưng hướng dẫn công khai dự kiến sẽ được đưa ra vào thứ Hai hoặc thứ Ba tuần tới.

Cointelegraph đã liên hệ với Unity để biết thêm thông tin, nhưng chưa nhận được phản hồi ngay lập tức.

Một phát ngôn viên của Google nói với Cointelegraph rằng họ đã nhận thức được lỗ hổng này.

“Unity đang cung cấp bản vá cho các nhà phát triển ứng dụng để khắc phục vấn đề này, và các nhà phát triển nên cập nhật ứng dụng của họ ngay lập tức,” phát ngôn viên cho biết.

“Google Play sẽ hỗ trợ các nhà phát triển phát hành các phiên bản ứng dụng đã được vá càng nhanh càng tốt. Dựa trên các phát hiện hiện tại của chúng tôi, không tìm thấy ứng dụng độc hại khai thác lỗ hổng này trên Play,” họ nói thêm.

Unity là một trong những công cụ phát triển game phổ biến nhất thế giới

Unity Technologies có trụ sở tại San Francisco là đơn vị đứng sau Unity, một nền tảng hàng đầu cung cấp các công cụ cho nhà sáng tạo xây dựng và phát triển các trò chơi, ứng dụng và trải nghiệm thời gian thực trên nhiều nền tảng khác nhau. Theo công ty, Unity cung cấp sức mạnh cho hơn 70% trong số 1.000 trò chơi di động hàng đầu, và hơn 50% các trò chơi di động mới được tạo ra bằng Unity.

Harold Halibut: một trong những trò chơi mới nhất được phát triển bằng Unity engine. Nguồn: Unity

Mối đe dọa tiềm ẩn đối với ví crypto

Các nguồn tin mô tả mối đe dọa này là “tiêm mã trong quá trình,” nhưng không xác nhận liệu thiết bị có thể bị kiểm soát hoàn toàn hay không. Tuy nhiên, các nguồn tin cho biết lỗ hổng này có thể leo thang thành việc xâm phạm thiết bị ở cấp độ hệ thống trên Android trong một số điều kiện nhất định.

Ngay cả khi không truy cập hoàn toàn vào thiết bị, mã độc hại có thể “thử thực hiện lớp phủ, thu thập nhập liệu hoặc quét màn hình,” điều này có thể nhắm vào thông tin cá nhân hoặc cụm từ seed của ví crypto, các nguồn tin cảnh báo.

Cách bảo vệ bản thân

Các nguồn tin khuyên người chơi di động nên cập nhật bất kỳ trò chơi nào dựa trên Unity khi các bản vá được phát hành và tránh cài đặt ứng dụng ngoài, chẳng hạn như cài đặt ứng dụng từ các cửa hàng ứng dụng không chính thức hoặc của bên thứ ba hoặc tải xuống Android Application Packages (APKs) từ các trang web.

Các ứng dụng cài đặt ngoài không được kiểm tra bởi hệ thống bảo mật của Google Play, vì vậy các tác nhân độc hại có thể phân phối các phiên bản đã chỉnh sửa của các trò chơi hợp pháp để khai thác lỗ hổng Unity. Các ứng dụng cài đặt ngoài cũng sẽ không tự động nhận được các bản cập nhật hoặc bản vá bảo mật khi Unity phát hành bản sửa lỗi.

Người dùng cũng nên kiểm tra quyền truy cập của thiết bị và tắt các dịch vụ lớp phủ hoặc truy cập không cần thiết đang chạy khi chơi game.

Cuối cùng, nên thực hiện phân tách rủi ro, tức là giữ ví crypto trên một thiết bị hoặc tài khoản riêng biệt với thiết bị chơi game.

Đây là một câu chuyện đang phát triển, và thông tin bổ sung sẽ được cập nhật khi có sẵn.