Mobile Spiele drohen, Kryptowährungs-Wallets zu stehlen! Unity-Engine behebt dringend „8 Jahre alte Sicherheitslücke“

Die Unity-Engine hat eine seit 2017 bestehende Programmschwachstelle entdeckt, die zum Durchsickern von Kryptowährungs-Wallets führen kann. Da mehr als 70 % der beliebten Handyspiele mit Unity erstellt werden, hat dies bei den Spielern Panik ausgelöst.
(Vorläufige Zusammenfassung: Die verschlüsselte Brieftasche des Steam-Spiels eines lebenden Krebsspielers wurde gehackt, und Valve entfernte den versteckten Trojaner dringend)
(Hintergrundergänzung: OpenAI hilft bei der Erstellung von Animationsfilmen! Musk verliert nicht: xAI und „Star Wars Eve“ diskutieren Zusammenarbeit bei der Entwicklung von KI-Spielen)

Die Existenz der Unity-Engine lässt sich bis ins Jahr 2017 zurückverfolgen. Die „In-Process-Code-Injection“-Schwachstelle in 2016 waren rund 70 % der weltweit beliebtesten Handyspiele betroffen. Hacker können sich über infizierte Spiele Zugriff auf Android-, Windows-, macOS- und Linux-Systeme verschaffen und Krypto-Wallet-Mnemoniks oder private Schlüssel stehlen. Laut Cointelegraph wurde die Schwachstelle zwar bestätigt, Google wies jedoch darauf hin, dass der Play Store tatsächliche Kriminalfälle „nicht erkannt“ habe.

Schwachstellenumfang und Angriffspfade

Unity dominiert den Markt für mobile Spiele, da mehr als 50 % der neuen Spiele darauf basieren, was die Ausbreitung von Schwachstellen auf eine große Anzahl von Spielern ermöglicht. Hacker können bösartigen Code in die Anwendung einschleusen und dann einen gefälschten Anmeldebildschirm erzeugen, um Benutzer durch Overlay-Angriffe, Eingabeerfassung oder Screenshots zur Eingabe ihres Wallet-Passworts zu verleiten. Das Google APP-Team sagte jedoch:

Basierend auf unserer aktuellen Erkennung wurden im Play Store keine bösartigen Apps gefunden, die diese Sicherheitslücke ausnutzen.

Im Vergleich zu Google Play, das offiziell zensiert wird, ist das Sideloading-Verhalten bei der Installation von APK von Websites Dritter mit einem höheren Risiko verbunden. Es fehlt nicht nur das Vorscannen, es ist auch nicht möglich, später von Unity und Entwicklern veröffentlichte Patches automatisch abzurufen.

Unity hat damit begonnen, Patching-Tools seinen Partnern zur Verfügung zu stellen und plant, seine Leitlinien nächste Woche öffentlich zu aktualisieren. Bevor der Patch vollständig implementiert ist, können Spieler vier Methoden anwenden, um ihre Krypto-Assets zu schützen:

• Spiele und Systeme jederzeit aktualisieren
• Vermeiden Sie das Herunterladen von APKs aus unbekannten Quellen
• Überprüfen und schließen Sie unnötige Berechtigungen, wie z. B. das Überlagern anderer Anwendungen
• Trennen Sie Geräte, auf denen große Mengen an Krypto-Assets gespeichert sind, von Mobiltelefonen, die zum Spielen von Spielen verwendet werden