Unity 引擎爆出 2017 年起就有的程式漏洞,可能導致加密貨幣錢包外洩,因為七成以上的熱門手遊都是用 Unity 打造,引起玩家恐慌。
(前情提要:罹癌實況主玩Steam遊戲被駭加密錢包,Valve緊急下架藏木馬遊戲 )
(背景補充:OpenAI幫打造動畫電影!馬斯克不輸:xAI和「星戰前夜」談合作AI遊戲開發 )
Unity 引擎被爆料存在可追溯至 2017 年的「進程內碼注入」漏洞,影響全球約七成熱門手機遊戲。駭客可透過受感染的遊戲進入 Android、Windows、macOS 與 Linux 系統,竊取加密錢包助記詞或私鑰。根據Cointelegraph 報導,漏洞雖已確認,但 Google 指出 Play 商店目前「未偵測到」實際犯罪案例。
漏洞範圍與攻擊路徑
Unity 佔手機遊戲市場的主導地位,超過 50% 新作以此打造,使漏洞可能遍及大量玩家。駭客可在應用程式內部植入惡意代碼,再透過覆蓋攻擊、輸入捕獲或螢幕截圖,引出假的登入畫面誘騙用戶輸入錢包密碼。但 Google APP 負責團隊表示:
基於我們目前的檢測,利用此漏洞的惡意應用程式尚未在 Play 商店中被發現。
比起受官方審查的 Google Play,從第三方網站安裝 APK 的 sideloading 行為風險更高,不僅缺乏事前掃描,也無法自動取得 Unity 與開發者後續釋出的修補。
Unity 已開始向合作夥伴提供修補工具,並計畫下週公開更新指引。在修補全面到位前,玩家可採取四個方法保護自己的加密資產:
- 隨時更新遊戲與系統
- 避免從不明來源下載 APK
- 檢查並關閉不必要權限,如覆蓋於其他應用之上
- 將存放大量加密資產的裝置與玩遊戲的手機分開
📍相關報導📍
Pudgy Penguins胖企鵝手遊《Pudgy Party》將上線AppStore、GooglePlay,預先註冊開跑
