Unity menampal kecacatan enjin permainan kritikal yang boleh menyasarkan pengguna kripto

Unity Technology telah menampal kelemahan utama yang boleh membolehkan pelaku jahat melaksanakan kod berniat jahat dan mengakses data pengguna sensitif, menyasarkan pengguna kripto melalui apl yang dibina dengan enjin permainan Unity yang popular.

Unity mengeluarkan tampalan pada hari Jumaat, menyasarkan kecacatan yang pertama kali ditemui pada bulan Jun oleh penyelidik keselamatan dan kemudian dibenderakan secara dalaman. 

Apakah risikonya?

Pelanggaran itu berpunca daripada kecacatan dalam persekitaran binaan Android Unity yang membolehkan "suntikan kod dalam proses," membenarkan perisian berniat jahat pada peranti yang sama untuk mengeksploitasi kebenaran yang diberikan kepada aplikasi berasaskan Unity, dua orang yang biasa dengan perkara itu memberitahu Cointelegraph.

Secara berasingan, penyelidikan yang diterbitkan oleh penyelidik GMO Flatt Security RyotaK, telah memberi amaran bahawa kelemahan ini berpotensi memberi akses kepada pelaku jahat kepada pelbagai eksploitasi, daripada tindanan yang tidak dibenarkan kepada tangkapan input dan pengikisan skrin, meletakkan maklumat sensitif seperti kata laluan dan frasa benih dompet kripto berisiko.

Walau bagaimanapun, walaupun tanpa kawalan langsung peranti, RyotaK memberi amaran bahawa penyerang masih boleh menggunakan teknik senyap untuk memintas kelayakan atau meniru antara muka pengguna yang dipercayai untuk menipu orang supaya mendedahkan maklumat sulit.

Kerentanan itu dilaporkan menjejaskan projek berasaskan Unity sejak 2017, dengan aplikasi Android menanggung pendedahan tertinggi. 

Sistem Windows, macOS dan Linux juga terjejas pada tahap yang berbeza-beza, walaupun penyelidik masih belum mengesahkan sama ada kecacatan itu boleh meningkat kepada pengambilalihan peranti penuh. 

Menurut sumber yang tidak dinamakan yang dipetik oleh Cointelegraph, pengguna kripto amat terdedah, terutamanya kerana permainan mudah alih sering dipasang bersama dompet atau aplikasi kewangan lain pada peranti yang sama, sekali gus meningkatkan permukaan serangan untuk pelaku berniat jahat.

Terutama, apl yang dimuatkan sisi, versi permainan Unity yang diedarkan di luar gedung aplikasi rasmi, boleh menimbulkan ancaman terbesar kerana ia tidak disaring oleh sistem keselamatan Google Play dan tidak menerima kemas kini atau tampalan secara automatik. 

Setakat ini, Unity Technologies mengatakan ia tidak mempunyai bukti bahawa kelemahan itu telah dieksploitasi di alam liar, dan Google mengesahkan bahawa tiada apl berniat jahat yang mengeksploitasi kecacatan itu telah dikesan di Gedung Play.

"Google Play akan menyokong membantu pembangun mengeluarkan versi tampal apl mereka secepat mungkin. Berdasarkan pengesanan semasa kami, apl berniat jahat yang mengeksploitasi kelemahan ini tidak ditemui di Play," kata jurucakap Google kepada media kripto.

Walau bagaimanapun, pembangun telah digesa untuk mengemas kini pemasangan Unity Editor mereka dengan versi yang ditampal dan membina semula dan menerbitkan semula mana-mana aplikasi yang terjejas supaya pengguna boleh memuat turun kemas kini selamat.

Pemain mudah alih, sementara itu, dinasihatkan untuk mendayakan kemas kini automatik, mengelakkan sideloading daripada sumber yang tidak disahkan, menyemak kebenaran peranti dan melumpuhkan tindanan yang tidak perlu atau perkhidmatan kebolehcapaian yang berjalan semasa permainan.

Pakar keselamatan juga mengesyorkan mengamalkan pengasingan risiko, seperti menyimpan dompet mata wang kripto pada peranti atau akaun yang berasingan daripada aplikasi permainan, untuk meminimumkan potensi kesan daripada eksploitasi.

Pelakon jahat menyasarkan apl kripto pada ios dan android

Walaupun kelemahan baru-baru ini tidak menyasarkan pengguna kripto secara langsung, komuniti kekal berisiko, terutamanya memandangkan insiden masa lalu yang telah mendedahkan jurang keselamatan yang ketara merentas kedua-dua platform Android dan iOS.

Awal tahun ini, apl berniat jahat yang dikenali sebagai BOM didapati mencuri data dompet sensitif dengan meminta kebenaran yang tidak perlu dan mengimbas storan peranti untuk kunci peribadi dan frasa pemulihan.

BOM menyamar sebagai alat blockchain yang sah, akhirnya menyedut lebih daripada $1.8 juta dalam aset kripto daripada sekurang-kurangnya 13,000 mangsa sebelum hilang dari etalase.

Dalam kes lain, kempen perisian hasad SparkCat menggunakan teknologi pengecaman aksara optik untuk mengekstrak frasa benih dompet daripada tangkapan skrin yang disimpan pada peranti yang dijangkiti. 

Diedarkan melalui apl yang kelihatan tidak berbahaya, perisian hasad itu berjaya menyusup ke kedua-dua Google Play Store dan App Store Apple, menandakan salah satu contoh pertama serangan berasaskan OCR yang menyasarkan pengguna iOS.