Unity patcht kritieke fout in de game-engine die zich zou kunnen richten op crypto-gebruikers

Unity Technology heeft een grote kwetsbaarheid gepatcht waardoor kwaadwillenden kwaadaardige code kunnen uitvoeren en toegang kunnen krijgen tot gevoelige gebruikersgegevens, gericht op crypto-gebruikers via apps die zijn gebouwd met de populaire Unity-game-engine.

Unity heeft vrijdag een patch uitgebracht, gericht op de fout die voor het eerst werd ontdekt in juni door beveiligingsonderzoekers en later intern werd gemarkeerd.

Wat zijn de risico's?

De inbreuk was het gevolg van een fout in de Android-buildomgeving van Unity die "in-process code-injectie" mogelijk maakte, waardoor kwaadaardige software op hetzelfde apparaat misbruik kon maken van machtigingen die waren verleend aan op Unity gebaseerde applicaties, vertelden twee mensen die bekend zijn met de zaak aan Cointelegraph.

Los daarvan had onderzoek gepubliceerd door GMO Flatt Security-onderzoeker RyotaK gewaarschuwd dat deze kwetsbaarheid kwaadwillenden mogelijk toegang zou kunnen geven tot een reeks exploits, van ongeoorloofde overlays tot het vastleggen van invoer en schermschrapen, waardoor gevoelige informatie zoals wachtwoorden en crypto wallet seed phrases in gevaar komen.

Maar zelfs zonder directe controle over het apparaat waarschuwde RyotaK dat aanvallers nog steeds stealth-technieken kunnen inzetten om inloggegevens te onderscheppen of vertrouwde gebruikersinterfaces na te bootsen om mensen te misleiden om vertrouwelijke informatie prijs te geven.

De kwetsbaarheid trof naar verluidt op Unity gebaseerde projecten die teruggaan tot 2017, waarbij Android-applicaties de hoogste blootstelling hadden.

Windows-, macOS- en Linux-systemen werden ook in verschillende mate getroffen, hoewel onderzoekers nog niet hebben bevestigd of de fout zou kunnen escaleren tot een volledige overname van het apparaat.

Volgens niet nader genoemde bronnen die door Cointelegraph worden geciteerd, waren crypto-gebruikers bijzonder kwetsbaar, vooral omdat mobiele games vaak naast portefeuilles of andere financiële applicaties op hetzelfde apparaat worden geïnstalleerd, waardoor het aanvalsoppervlak voor kwaadwillende actoren toeneemt.

Met name sideloaded apps, versies van Unity-games die buiten de officiële app-winkels worden gedistribueerd, kunnen de grootste bedreiging vormen omdat ze niet worden gescreend door de beveiligingssystemen van Google Play en niet automatisch updates of patches ontvangen.

Vanaf nu zegt Unity Technologies dat het geen bewijs heeft dat de kwetsbaarheid in het wild is uitgebuit, en Google heeft bevestigd dat er geen kwaadaardige apps die misbruik maken van de fout zijn gedetecteerd in de Play Store.

"Google Play helpt ontwikkelaars om gepatchte versies van hun apps zo snel mogelijk uit te brengen. Op basis van onze huidige detecties worden kwaadaardige apps die misbruik maken van deze kwetsbaarheid niet gevonden op Play", vertelde een woordvoerder van Google aan cryptomedia.

Ontwikkelaars zijn echter aangespoord om hun Unity Editor-installaties bij te werken met de gepatchte versie en alle getroffen applicaties opnieuw op te bouwen en opnieuw te publiceren, zodat gebruikers veilige updates kunnen downloaden.

Mobiele gamers wordt ondertussen geadviseerd om automatische updates in te schakelen, sideloading van niet-geverifieerde bronnen te vermijden, apparaatmachtigingen te herzien en onnodige overlays of toegankelijkheidsservices uit te schakelen die tijdens het gamen worden uitgevoerd.

Beveiligingsspecialisten adviseerden ook om risicoscheiding toe te passen, zoals het bewaren van cryptocurrency wallets op een ander apparaat of account dan game-applicaties, om mogelijke gevolgen van exploits te minimaliseren.

Kwaadwillenden richten zich op crypto apps op iOS en Android

Hoewel de recente kwetsbaarheid niet direct gericht was op crypto-gebruikers, blijft de gemeenschap in gevaar, vooral in het licht van eerdere incidenten die aanzienlijke beveiligingslekken hebben blootgelegd op zowel Android- als iOS-platforms.

Eerder dit jaar bleek een kwaadaardige app die bekend staat als BOM gevoelige portemonnee-gegevens te stelen door onnodige machtigingen te vragen en apparaatopslag te scannen op privésleutels en herstelzinnen.

BOM deed zich voor als een legitieme blockchain-tool en hevelde uiteindelijk meer dan $1,8 miljoen aan crypto-activa over van ten minste 13.000 slachtoffers voordat hij uit de winkelpuien verdween.

In een ander geval gebruikte de SparkCat-malwarecampagne optische tekenherkenningstechnologie om seed-zinnen in de portemonnee te extraheren uit schermafbeeldingen die waren opgeslagen op geïnfecteerde apparaten.

De malware werd verspreid via ogenschijnlijk onschuldige apps en slaagde erin zowel de Google Play Store als de App Store van Apple te infiltreren, wat een van de eerste bekende voorbeelden was van op OCR gebaseerde aanvallen gericht op iOS-gebruikers.