7成热门安卓手游或出现安全漏洞 有机会被窃取加密钱包助记词
免责声明:加密资产高风险,投资需谨慎。本文仅供信息参考,不构成投资建议。加密市场波动剧烈,您可能面临全部本金损失的风险。
据外媒《Cointelegraph》报导,Unity 引擎存在一项漏洞,可能允许第三方将恶意代码注入手机游戏,从而威胁用户的加密货币钱包安全。
据悉,Unity 正在低调推出修复措施,针对 Android 手机游戏中允许第三方代码运行的漏洞,该漏洞可能瞄准移动端加密钱包。两位匿名消息人士指出,这一漏洞最早可追溯至 2017 年,主要影响 Android 系统,但 Windows、macOS 和 Linux 也在不同程度上受影响。
消息人士表示,Unity 已经开始私下向部分合作伙伴分发修复工具与独立补丁,但官方公开的安全指引最快要等到下周一或周二才会发布。
Google已知悉此漏洞
Google 发言人回应称已知悉此漏洞:
- Unity 已经向应用开发者提供补丁以解决该问题,开发者应立即更新应用。
- Google Play 也将协助开发者尽快发布已修复版本。目前根据我们的检测,Google Play 上尚未发现利用该漏洞的恶意应用。
前一千款手机游戏中有7成来自该引擎
Unity Technologies 总部位于旧金山,是全球领先的游戏与应用开发平台。根据官方数据,Unity 支撑了超过 70% 的前一千款手机游戏,并且超过一半的新游戏都基于 Unity 开发。
消息人士将该风险描述为进程内代码注入,但尚未确认是否能完全接管设备。不过在特定条件下,该漏洞可能进一步升级为 Android 设备级别的全面入侵。
即使未能完全控制设备,恶意代码仍可能通过叠加画面、输入拦截或屏幕截取等方式,窃取个人凭证或加密钱包的助记词。
防范手法
- 尽快更新所有基于 Unity 的游戏,随着补丁推出立即安装;
- 避免侧载(sideloading)应用,即不要从非官方或第三方应用商店安装游戏,也不要随意下载 APK 文件;
- 侧载应用未经 Google Play 安全系统审核,黑客可能散布被修改的游戏版本来利用漏洞;此外,侧载应用也无法自动接收 Unity 的安全更新;
- 检查设备权限,停用不必要的叠加层或在游戏时运行的辅助功能;
- 最佳做法是进行风险隔离,将加密钱包保存在与游戏分离的设备或账户中。
