Új sebezhetőség Androidon: veszélyben a kriptós appod? Így ellenőrizd
Egy, a készüléken már jelen lévő rosszindulatú alkalmazás ráveheti a sebezhető, Unity-alapú Android-appot, hogy már az indulás legelső szakaszában nem megbízható helyről töltsön be natív könyvtárat (kódot). A betöltött kód az érintett alkalmazás saját jogosultságaival fut, vagyis nem „ugrik át” más tárcákba vagy appokba, de mindent elérhet, amihez maga az adott játék/alkalmazás is hozzáfér — például helyi fájlokat, beágyazott böngészőt (WebView), aláírási/WalletConnect-hívásokat és session-tokeneket.
Mi történik pontosan?
A Unity futtatókörnyezet már az indulás legelső szakaszában – még a tényleges inicializálás előtt – olyan indítási paramétereket olvas be, amelyek meghatározzák, honnan keres és tölt be natív könyvtárakat. A hiba ott keletkezik, hogy egy, a készüléken már jelen lévő rosszindulatú alkalmazás bele tud nyúlni ebbe az útvonal-keresésbe. Ha a sebezhető Unity-app ilyen, támadó által befolyásolt helyről is hajlandó betölteni könyvtárat, akkor a támadó saját modulja kerül betöltésre, és az app jogosultságaival fut le.
Androidon ez helyi kódfuttatást jelent az érintett alkalmazás „homokozóján” belül; asztali rendszereken inkább jogkiterjesztés irányú kockázatot hordoz. A Unity szerint jelenleg nincs bizonyított visszaélés, de a fejlesztőket azonnali frissítésre kéri.
Miért érinti ez a kriptós appokat?
Sok Unity-alapú játék és app használ pénztárca-SDK-kat, letétkezelős (custodial) bejelentkezést vagy WalletConnect-szerű kapcsolatokat – tipikusan NFT-funkciókhoz, jutalmakhoz, on-chain vásárlásokhoz. Ha ugyanabban az alkalmazásban idegen kód fut, akkor képes lehet:
- hozzáférni az app saját tárhelyéhez (titkosított fájlok, local storage);
- megfigyelni vagy kezdeményezni aláírási hívásokat ugyanazokkal az API-kkal, amelyeket az app is használ;
- beavatkozni a WebView működésébe, munkamenet- (session) tokeneket kimenteni;
- az Android Keystore lehetőségeit kihasználva – ahol a rendszer engedi – a felhasználó jóváhagyásával aláírásokat kérni.
Fontos: a kód nem lép át más alkalmazások (külön telepített tárcák) „homokozójába”. A kockázat az adott Unity-appra korlátozódik; ha azonban abban pénztárca-folyamat fut, az így is érzékeny helyzetet teremt.
Ez is érdekelhet: Kriptókat lopó trójait találtak elég sok iOS és Android alkalmazásban
Érintett lehetek? Gyors ellenőrzés
Felhasználóknak
Frissítés dátuma: Nyisd meg a játék/app oldalát a Play Áruházban. Ha 2025. okt. 2. után frissítették, nagy eséllyel már javított. Ha régebbi: várd meg a frissítést, addig kezeld óvatosan.
Védelem bekapcsolva: Hagyd Play Protectet bekapcsolva, és ne telepíts appot bizonytalan forrásból (APK).
Takarítás: Töröld a nem használt vagy gyanús appokat. Minél kevesebb a felesleges, annál kisebb az esély bajra.
Pénztárca-biztonság: Kapcsold be a biometriát/PIN-t minden küldéshez, seedet ne ments sima szövegben/fotón, a WalletConnect-kapcsolatokat időnként zárd le. Nagyobb összegeket inkább hardvertárcán tarts, amíg a fejlesztő ki nem írja, hogy a javított verzió él.
Fejlesztőknek
Melyik Unity? Ha nem a javított verzióval (pl. Unity 6 LTS 6000.0.58f2, 2022.3.67f2, 2021.3.56f2) épült az Android-csomag, építs újra ezek valamelyikével.
Betöltési útvonalak: Tiltsd le, hogy az app külső, befolyásolható útvonalról töltsön be natív könyvtárat az indulás előtt.
Wallet-funkciók keményítése: Kötelező felhasználói jóváhagyás minden aláírásnál (Android Keystore), plaintext kulcs/seed tilos, WebView-jogosultságok minimálisra.
Mondd el a felhasználónak: Store-megjegyzésben és in-app üzenetben jelezd, hogy biztonsági javítás érkezett.
Gyors próba: Teszteld, hogy a patchelt build nem enged külső könyvtárat betölteni induláskor.