Jogos mobile ameaçam roubar carteiras de criptomoedas! O mecanismo Unity corrige urgentemente a “vulnerabilidade de 8 anos”
O mecanismo Unity descobriu uma vulnerabilidade do programa que existe desde 2017, que pode levar ao vazamento de carteiras de criptomoedas. Como mais de 70% dos jogos móveis populares são desenvolvidos com Unity, isso causou pânico entre os jogadores.
(Resumo preliminar: O jogo Steam de um jogador com câncer ao vivo teve sua carteira criptografada hackeada e a Valve removeu urgentemente o jogo Trojan oculto)
(Suplemento de fundo: OpenAI ajuda a criar filmes animados! Musk não perde: xAI e "Star Wars Eve" discutem cooperação no desenvolvimento de jogos de IA)
A existência do mecanismo Unity pode ser rastreada até 2017 A vulnerabilidade de "injeção de código em processo" em 2016 afetada cerca de 70% dos jogos para celular mais populares do mundo. Os hackers podem obter acesso aos sistemas Android, Windows, macOS e Linux por meio de jogos infectados e roubar mnemônicos de carteiras criptografadas ou chaves privadas. Segundo o Cointelegraph, embora a vulnerabilidade tenha sido confirmada, o Google apontou que a Play Store “não detectou” casos criminais reais.
Âmbito da vulnerabilidade e caminhos de ataque
O Unity domina o mercado de jogos para dispositivos móveis, com mais de 50% dos novos jogos desenvolvidos nele, possibilitando que as vulnerabilidades se espalhem para um grande número de jogadores. Os hackers podem plantar código malicioso dentro do aplicativo e, em seguida, induzir uma tela de login falsa para induzir os usuários a inserir a senha da carteira por meio de ataques de sobreposição, captura de entrada ou capturas de tela. No entanto, a equipe do Google APP disse:
Com base em nossa detecção atual, aplicativos maliciosos que exploram essa vulnerabilidade não foram encontrados na Play Store.
Em comparação com o Google Play, que é oficialmente censurado, o comportamento de carregamento lateral da instalação de APK de sites de terceiros é de maior risco. Não só falta pré-verificação, mas também não pode obter automaticamente patches lançados posteriormente pelo Unity e pelos desenvolvedores.
A Unity começou a disponibilizar ferramentas de correção para parceiros e planeja atualizar suas orientações publicamente na próxima semana. Antes que o patch seja totalmente implementado, os jogadores podem adotar quatro métodos para proteger seus ativos criptográficos:
- Atualizar jogos e sistemas a qualquer momento
- Evitar baixar APKs de fontes desconhecidas
- Verificar e fechar permissões desnecessárias, como sobreposição em outros aplicativos
- Dispositivos separados que armazenam grandes quantidades de ativos criptográficos de telefones celulares usados para jogar
