Unity łata krytyczną lukę w silniku gry, która może być wymierzona w użytkowników kryptowalut

Unity Technology załatała poważną lukę w zabezpieczeniach, która może pozwolić złym aktorom na wykonanie złośliwego kodu i dostęp do poufnych danych użytkownika, atakując użytkowników kryptowalut za pośrednictwem aplikacji zbudowanych za pomocą popularnego silnika gry Unity.

Unity wydało w piątek łatkę , wymierzoną w lukę, która została po raz pierwszy odkryta w czerwcu przez badaczy bezpieczeństwa, a następnie oznaczona wewnętrznie.

Jakie są zagrożenia?

Naruszenie wynikało z luki w środowisku kompilacji Androida Unity, która umożliwiła "wstrzyknięcie kodu w procesie", umożliwiając złośliwemu oprogramowaniu na tym samym urządzeniu wykorzystanie uprawnień przyznanych aplikacjom opartym na Unity, powiedziały Cointelegraph dwie osoby zaznajomione ze sprawą.

Oddzielnie badanie opublikowane przez badacza GMO Flatt Security, RyotaK, ostrzegło, że ta luka może potencjalnie dać złym aktorom dostęp do szeregu exploitów, od nieautoryzowanych nakładek po przechwytywanie danych wejściowych i skrobanie ekranu, narażając na ryzyko poufne informacje, takie jak hasła i frazy portfel kryptowalut .

Jednak nawet bez bezpośredniej kontroli nad urządzeniem RyotaK ostrzegł, że osoby atakujące mogą nadal stosować techniki ukrywania się w celu przechwycenia danych uwierzytelniających lub naśladowania zaufanych interfejsów użytkownika, aby nakłonić ludzi do ujawnienia poufnych informacji.

Luka podobno dotyczyła projektów opartych na Unity sięgających 2017 roku, przy czym aplikacje na Androida były najbardziej narażone.

Systemy Windows, macOS i Linux również zostały dotknięte w różnym stopniu, chociaż badacze nie potwierdzili jeszcze, czy luka może eskalować do pełnego przejęcia urządzenia.

Według anonimowych źródeł, na które powołuje się Cointelegraph, użytkownicy kryptowalut byli szczególnie narażeni, zwłaszcza, że gry mobilne są często instalowane wraz z portfelami lub innymi aplikacjami finansowymi na tym samym urządzeniu, zwiększając w ten sposób powierzchnię ataku dla złośliwych aktorów.

Warto zauważyć, że aplikacje ładowane bocznie, wersje gier Unity dystrybuowane poza oficjalnymi sklepami z aplikacjami, mogą stanowić największe zagrożenie, ponieważ nie są sprawdzane przez systemy bezpieczeństwa Google Play i nie otrzymują automatycznie aktualizacji ani poprawek.

Na razie Unity Technologies twierdzi, że nie ma dowodów na to, że luka została wykorzystana na wolności, a Google potwierdziło, że w Sklepie Play nie wykryto żadnych złośliwych aplikacji wykorzystujących tę lukę.

"Google Play będzie wspierać deweloperów w jak najszybszym wydawaniu poprawionych wersji ich aplikacji. Opierając się na naszych obecnych wykryciach, złośliwe aplikacje wykorzystujące tę lukę nie są znajdowane w Play" – powiedział rzecznik Google w rozmowie z mediami kryptograficznymi.

Jednak programiści zostali wezwani do zaktualizowania swoich instalacji Edytora Unity do wersji z poprawkami oraz ponownego skompilowania i ponownego opublikowania wszelkich aplikacji, których dotyczy problem, aby użytkownicy mogli pobrać bezpieczne aktualizacje.

Tymczasem graczom mobilnym zaleca się włączenie automatycznych aktualizacji, unikanie ładowania bocznego z niezweryfikowanych źródeł, przeglądanie uprawnień urządzenia i wyłączanie niepotrzebnych nakładek lub usług ułatwień dostępu, które działają podczas grania.

Specjaliści ds. bezpieczeństwa zalecili również praktykowanie segregacji ryzyka, takiej jak przechowywanie portfele kryptowalut na oddzielnym urządzeniu lub koncie od aplikacji do gier, aby zminimalizować potencjalne skutki exploitów.

Źli aktorzy atakują aplikacje do kryptowalut na iOS i Androida

Chociaż niedawna luka w zabezpieczeniach nie była bezpośrednio wymierzona w użytkowników kryptowalut, społeczność pozostaje zagrożona, zwłaszcza w świetle wcześniejszych incydentów, które ujawniły znaczne luki w zabezpieczeniach zarówno na platformach Android, jak i iOS.

Na początku tego roku odkryto, że złośliwa aplikacja znana jako BOM kradnie poufne dane portfela, prosząc o niepotrzebne uprawnienia i skanując pamięć urządzenia w poszukiwaniu kluczy prywatnych i fraz odzyskiwania.

BOM podszywał się pod legalne narzędzie blockchain, ostatecznie wyprowadzając ponad 1,8 miliona dolarów w aktywach kryptograficznych od co najmniej 13 000 ofiar, zanim zniknął z witryn sklepowych.

W innym przypadku kampania złośliwego oprogramowania SparkCat wykorzystywała technologię optycznego rozpoznawania znaków do wyodrębniania fraz seed portfela ze zrzutów ekranu przechowywanych na zainfekowanych urządzeniach.

Dystrybuowane za pośrednictwem pozornie nieszkodliwych aplikacji, złośliwe oprogramowanie zdołało przeniknąć zarówno do Google Play Store, jak i Apple App Store, co stanowi jeden z pierwszych znanych przykładów ataków opartych na OCR wymierzonych w użytkowników iOS.