手机游戏恐盗加密货币钱包！ Unity 引擎紧急修复「8年老漏洞」

Unity 引擎爆出 2017 年起就有的程式漏洞，可能导致加密货币钱包外泄，因为七成以上的热门手游都是用 Unity 打造，引起玩家恐慌。
（前情提要：罹癌实况主玩Steam游戏被骇加密钱包，Valve紧急下架藏木马游戏 ）
（背景补充：OpenAI帮打造动画电影！马斯克不输：xAI和「星战前夜」谈合作AI游戏开发 ）

Unity 引擎被爆料存在可追溯至 2017 年的「进程内码注入」漏洞，影响全球约七成热门手机游戏。骇客可透过受感染的游戏进入 Android、Windows、macOS 与 Linux 系统，窃取加密钱包助记词或私钥。根据Cointelegraph 报导，漏洞虽已确认，但 Google 指出 Play 商店目前「未侦测到」实际犯罪案例。

漏洞范围与攻击路径

Unity 占手机游戏市场的主导地位，超过 50% 新作以此打造，使漏洞可能遍及大量玩家。骇客可在应用程式内部植入恶意代码，再透过覆盖攻击、输入捕获或萤幕截图，引出假的登入画面诱骗用户输入钱包密码。但 Google APP 负责团队表示：

基于我们目前的检测，利用此漏洞的恶意应用程式尚未在 Play 商店中被发现。

比起受官方审查的 Google Play，从第三方网站安装 APK 的 sideloading 行为风险更高，不仅缺乏事前扫描，也无法自动取得 Unity 与开发者后续释出的修补。

Unity 已开始向合作伙伴提供修补工具，并计画下周公开更新指引。在修补全面到位前，玩家可采取四个方法保护自己的加密资产：

• 随时更新游戏与系统
• 避免从不明来源下载 APK
• 检查并关闭不必要权限，如覆盖于其他应用之上
• 将存放大量加密资产的装置与玩游戏的手机分开