據兩名匿名消息人士透露,Unity 遊戲平台正在悄悄修補一個安全漏洞,該漏洞允許第三方代碼在 Android 遊戲中執行,可能進而威脅到手機上的加密貨幣錢包。
Unity 漏洞恐導致加密錢包成攻擊目標
總部位於舊金山的 Unity Technologies 開發的 Unity 平台,是全球最受歡迎的即時遊戲、應用與體驗開發工具之一。根據公司數據,Unity 支援了超過 70% 的前一千大熱門手機遊戲,並且有超過 50% 的新手機遊戲出自 Unity。
消息人士形容該漏洞屬於「進程內程式碼注入」,但尚未證實是否能完全控制裝置。不過他們警告,在特定條件下,漏洞路徑可能升級為裝置級別的入侵,特別是在 Android 系統上。即便沒有取得完整的裝置控制權,惡意程式碼仍可能進行「畫面覆蓋、輸入攔截或螢幕截取」,進而竊取個人帳號資訊或加密錢包的助記詞。
消息人士指出,該漏洞影響範圍可追溯至 2017 年,雖然主要針對 Android,但 Windows、macOS 和 Linux 系統也在不同程度上受到影響。
目前,Unity 已開始向部分合作夥伴私下分發修補程式和獨立修補工具,但官方公開公告預計要到下週一或週二才會釋出。對此,與 Unity 合作密切的 Google 發言人則向媒體表示已知此漏洞,並指出:
「Unity 正提供修補程式給應用開發者,開發者應立即更新應用程式。Google Play 將協助開發者盡快發布修補後的版本。截至目前,我們尚未在 Play 商店發現有惡意應用利用該漏洞。」
如何自我防護
消息人士建議玩家在修補程式釋出後,立即更新所有基於 Unity 的遊戲,並避免從非官方或第三方應用商店下載,或在網站下載 APK 檔案。
由於外部應用並未經過 Google Play 安全系統檢測,攻擊者可能散布經修改的遊戲版本來利用 Unity 漏洞。此外,外部應用也不會自動收到 Unity 的安全更新或修補。
使用者還應檢查手機的應用程式權限,關閉不必要的畫面重疊或遊戲中運行的輔助服務。最重要的是,建議用戶採用「風險隔離」做法:將加密錢包與遊戲裝置分開存放,或使用不同的帳戶,以降低潛在風險。
