Unity korjaa kriittisen pelimoottorin vian, joka voi kohdistua kryptokäyttäjiin

Unity Technology on korjannut suuren haavoittuvuuden, jonka avulla pahantahtoiset toimijat voivat suorittaa haitallista koodia ja käyttää arkaluonteisia käyttäjätietoja, jotka kohdistuvat kryptokäyttäjiin sen suositulla Unity-pelimoottorilla rakennettujen sovellusten kautta.

Unity julkaisi perjantaina korjaustiedoston , joka kohdistuu virheeseen, jonka tietoturvatutkijat löysivät ensimmäisen kerran kesäkuussa ja joka myöhemmin merkittiin sisäisesti.

Mitkä ovat riskit?

Tietomurto sai alkunsa Unityn Android-rakennusympäristön virheestä, joka mahdollisti "prosessin sisäisen koodin injektion", jonka avulla saman laitteen haittaohjelmat voivat hyödyntää Unity-pohjaisille sovelluksille myönnettyjä lupia, kaksi asiaan perehtynyttä henkilöä kertoi Cointelegraphille.

Erikseen GMO Flatt Securityn tutkijan RyotaK:n julkaisema tutkimus oli varoittanut, että tämä haavoittuvuus voi mahdollisesti antaa haitallisille toimijoille pääsyn erilaisiin hyväksikäyttöihin luvattomista peittokuvista syötteiden kaappaamiseen ja näytön kaappaamiseen, mikä vaarantaa arkaluonteiset tiedot, kuten salasanat ja kryptolompakko siemenlauseet.

RyotaK varoitti kuitenkin, että hyökkääjät voivat silti käyttää hiiviskelytekniikoita sieppaamaan tunnistetietoja tai jäljittelemään luotettavia käyttöliittymiä huijatakseen ihmisiä paljastamaan luottamuksellisia tietoja.

Haavoittuvuuden kerrotaan vaikuttaneen Unity-pohjaisiin projekteihin jo vuonna 2017, ja Android-sovellukset altistuivat eniten.

Myös Windows-, macOS- ja Linux-järjestelmiin vaikutti vaihtelevassa määrin, vaikka tutkijat eivät ole vielä vahvistaneet, voiko vika eskaloitua laitteen täydelliseksi haltuunottoon.

Cointelegraphin siteeraamien nimeämättömien lähteiden mukaan kryptokäyttäjät olivat erityisen haavoittuvia, varsinkin kun mobiilipelit asennetaan usein lompakoiden tai muiden rahoitussovellusten rinnalle samalle laitteelle, mikä lisää haitallisten toimijoiden hyökkäyspinta-alaa.

Erityisesti sivulta ladatut sovellukset, Unity-pelien versiot, joita jaetaan virallisten sovelluskauppojen ulkopuolella, voivat muodostaa suurimman uhan, koska Google Playn turvajärjestelmät eivät seulo niitä eivätkä ne saa automaattisesti päivityksiä tai korjaustiedostoja.

Toistaiseksi Unity Technologies sanoo, että sillä ei ole todisteita siitä, että haavoittuvuutta olisi hyödynnetty luonnossa, ja Google vahvisti, että Play Kaupassa ei ole havaittu virhettä hyödyntäviä haitallisia sovelluksia.

"Google Play auttaa kehittäjiä julkaisemaan korjattuja versioita sovelluksistaan mahdollisimman nopeasti. Nykyisten havaintojemme perusteella tätä haavoittuvuutta hyödyntäviä haitallisia sovelluksia ei löydy Playsta", Googlen tiedottaja kertoi kryptomedialle.

Kehittäjiä on kuitenkin kehotettu päivittämään Unity Editor -asennuksensa korjatulla versiolla ja rakentamaan uudelleen ja julkaisemaan uudelleen kaikki sovellukset, joita asia koskee, jotta käyttäjät voivat ladata suojattuja päivityksiä.

Mobiilipelaajia puolestaan kehotetaan ottamaan käyttöön automaattiset päivitykset, välttämään sivulatausta vahvistamattomista lähteistä, tarkistamaan laitteen käyttöoikeudet ja poistamaan käytöstä tarpeettomat peittokuvat tai esteettömyyspalvelut, jotka toimivat pelaamisen aikana.

Tietoturva-asiantuntijat suosittelivat myös riskien erottelua, kuten kryptovaluuttalompakot pitämistä erillisellä laitteella tai tilillä pelisovelluksista, jotta hyväksikäytöstä aiheutuvat mahdolliset seuraukset minimoidaan.

Huonot toimijat kohdistavat kryptovaluuttasovellukset ios:ssä ja Androidissa

Vaikka viimeaikainen haavoittuvuus ei kohdistunut suoraan kryptokäyttäjiin, yhteisö on edelleen vaarassa, varsinkin kun otetaan huomioon aiemmat tapaukset, jotka ovat paljastaneet merkittäviä tietoturva-aukkoja sekä Android- että iOS-alustoilla.

Aiemmin tänä vuonna BOM-nimisen haitallisen sovelluksen havaittiin varastavan arkaluonteisia lompakkotietoja pyytämällä tarpeettomia käyttöoikeuksia ja skannaamalla laitteen tallennustilaa yksityisten avainten ja palautuslauseiden varalta.

BOM naamioitui lailliseksi lohkoketjutyökaluksi, joka lopulta vei yli 1,8 miljoonaa dollaria kryptovaroja ainakin 13 000 uhrilta ennen kuin se katosi kauppojen julkisivuista.

Toisessa tapauksessa SparkCat-haittaohjelmakampanja käytti optista merkintunnistustekniikkaa lompakon siemenlauseiden poimimiseen tartunnan saaneille laitteille tallennetuista kuvakaappauksista.

Näennäisesti vaarattomien sovellusten kautta levitetty haittaohjelma onnistui tunkeutumaan sekä Google Play Kauppaan että Applen App Storeen, mikä on yksi ensimmäisistä tunnetuista esimerkeistä iOS-käyttäjiin kohdistuvista OCR-pohjaisista hyökkäyksistä.