モバイルゲームは暗号通貨ウォレットを盗む恐れがあります! Unityエンジンが「8年前の脆弱性」を緊急修正

Unity エンジンは、2017 年から存在していたプログラムの脆弱性を発見しました。これは、暗号通貨ウォレットの漏洩につながる可能性があります。人気のモバイル ゲームの 70% 以上が Unity で構築されているため、プレイヤーの間でパニックが引き起こされています。
(暫定的な要約: ライブ ガン プレイヤーの Steam ゲームが暗号化されたウォレットをハッキングされ、Valve は隠されたトロイの木馬ゲームを緊急に削除しました)
(背景補足: OpenAI はアニメーション映画の作成を支援します! マスクは負けません: xAI と「スター ウォーズ イブ」が AI ゲーム開発における協力について話し合います)

Unity エンジンの存在は 2017 年の「インプロセス コード インジェクション」に遡ります。 2016 年の脆弱性は、世界で最も人気のあるモバイル ゲームの約 70% に影響を与えました。ハッカーは、感染したゲームを通じて Android、Windows、macOS、Linux システムにアクセスし、暗号ウォレットのニーモニックや秘密キーを盗む可能性があります。 Cointelegraph によると、脆弱性は確認されているものの、Google は Play ストアが実際の刑事事件を「検出していない」と指摘しました。

脆弱性の範囲と攻撃経路

Unity はモバイル ゲーム市場を支配しており、新しいゲームの 50% 以上が Unity 上に構築されているため、脆弱性が多数のプレイヤーに広がる可能性があります。ハッカーはアプリケーション内に悪意のあるコードを埋め込み、偽のログイン画面を誘導して、オーバーレイ攻撃、入力キャプチャ、またはスクリーンショットを通じてユーザーをだましてウォレットのパスワードを入力させる可能性があります。ただし、Google APP チームは次のように述べています。

現在の検出によると、この脆弱性を悪用する悪意のあるアプリは Play ストアで見つかっていません。

正式に検閲されている Google Play と比較して、サードパーティの Web サイトから APK をインストールするサイドローディング動作はリスクが高くなります。事前スキャンがないだけでなく、Unity や開発者によってその後リリースされるパッチを自動的に取得することもできません。

Unity はパートナー向けにパッチ適用ツールの提供を開始しており、来週ガイダンスを一般公開する予定です。パッチが完全に実装される前に、プレイヤーは暗号資産を保護するために 4 つの方法を取ることができます。

• いつでもゲームとシステムを更新する
• 不明なソースからの APK のダウンロードを避ける
• 他のアプリケーションへのオーバーレイなど、不要な権限を確認して閉じる
• 大量の暗号資産を保存するデバイスを、ゲームのプレイに使用する携帯電話から分離する