Magyar játékosok, figyelem: új fenyegetés a legnépszerűbb mobilos játékokban
A Unity játékfejlesztési platform mindenféle hírverés nélkül csendben bevezet egy javítást egy olyan sebezhetőségre, amely lehetővé teszi külső féltől származó kódok futtatását Android-alapú mobiljátékokban. Ezek a kódok értelemszerűen lehetnek rosszindulatúak is, és így potenciálisan veszélyesek lehetnek mobilos kriptotárcákra is. A sebezhetőség 2017-ig visszanyúlóan érinti a fejlesztési projekteket. És bár a sebezhetőség elsősorban az Androidot érinti, de a Windows, macOS és Linux rendszerek is különböző mértékben érintettek lehetnek. A név nélküli források szerint a Unity megkezdte a javítások és egy önállóan is használható javítóeszköz zártkörű terjesztését kiválasztott partnereknek, de nyilvános iránymutatásra az ügyben várhatóan csak jövő hét kerül sor.
A Google szóvivője megerősítette, hogy tisztában vannak a biztonsági réssel. Közleményük szerint a Unity kiadott egy javítást, amit az alkalmazásfejlesztőknek mielőbb be kell építeniük a kódjaikba. A Google Play segíti a fejlesztőket abban, hogy a frissített verziókat gyorsan közzé tudják tenni. Jelenlegi vizsgálataik alapján nem találtak olyan rosszindulatú alkalmazásokat a Play Áruházban, amelyek kihasználnák ezt a sebezhetőséget.
Évek óta ott a sebezhetőség a Unity-alapú játékokban
A San Franciscó-i Unity Technologies áll a Unity platformja mögött, amely eszközöket kínál a fejlesztőknek valós idejű játékok (mint a Fortnite például) vagy alkalmazások létrehozásához és fejlesztéséhez több operációs rendszeren.
A Unity a legnépszerűbb ezer mobiljáték több mint 70%-át támogatja, és a vállalat szerint az új mobiljátékok több mint 50%-a Unity-ben készül. Csak hogy mindenki tisztában milyen platformról is van szó: Unity játékmotorral készült a Pokémon GO, a Super Mario Run vagy éppen az Among Us is. A források szerint a fenyegetés egy úgynevezett folyamaton belüli kódbefecskendezés (angolul: in-process code injection), amely során a támadó képes lehet egy futó alkalmazás működésébe közvetlenül beavatkozni, például rosszindulatú kódot juttatva annak memóriájába. Ez lehetővé teszi, hogy a támadó manipulálja az alkalmazás viselkedését anélkül, hogy teljes hozzáférést szerezne az eszközhöz.
Bár nem erősítették meg, hogy a támadás révén teljesen átvehető lenne az irányítás az eszköz felett, a szakértők szerint bizonyos körülmények között ez a sebezhetőség akár rendszerszintű kompromittálódáshoz is vezethet Android esetén. De még teljes hozzáférés nélkül is lehet képernyőmentéseket készíteni vagy bemeneti adatokat, tárcakulcsokat ellopni. A játékosok most azt tudják tenni, hogy frissítik az összes Unity-alapú játékukat, amint a javítások megjelennek, és mindenképp kerülik a nem hivatalos áruházakból való telepítést, illetve az apk telepítők használatát weboldalakról. Mert a Google Play biztonsági rendszerei a hivatalos áruházban lévő appokat ellenőrzik, a többit viszont nem és azok nem is kapják meg a szükséges biztonsági frissítéseket sem. Figyelni kell az engedélyekre is és le kell tiltani a játékok közben futó felesleges hozzáférhetőségi szolgáltatásokat is. De az óvatosság úgy általában sem árt, elég sok különféle új csalási formáról írhattunk a közelmúltban.