A plataforma de jogos Unity está lançando discretamente uma correção para uma vulnerabilidade que permite que código de terceiros seja executado em jogos mobile baseados em Android, o que pode potencialmente atingir carteiras cripto mobile, segundo duas fontes que pediram anonimato.
A falha afeta projetos que remontam a 2017, de acordo com as fontes, que acrescentaram que a vulnerabilidade afeta principalmente o Android, mas também impacta, em diferentes graus, sistemas Windows, macOS e Linux.
Segundo as fontes, a Unity começou a distribuir correções e uma ferramenta de patch independente de forma privada para parceiros selecionados, mas orientações públicas só devem ser divulgadas na próxima segunda ou terça-feira.
O Cointelegraph entrou em contato com a Unity para mais informações, mas não obteve resposta imediata.
Um porta-voz do Google disse ao Cointelegraph que a empresa está ciente da vulnerabilidade.
“Unity está disponibilizando um patch para desenvolvedores de aplicativos corrigirem esse problema, e os desenvolvedores devem atualizar seus aplicativos imediatamente”, disse o porta-voz.
“O Google Play apoiará os desenvolvedores a lançar versões corrigidas de seus apps o mais rápido possível. Com base em nossas detecções atuais, não foram encontrados aplicativos maliciosos explorando essa vulnerabilidade no Play”, acrescentou.
Unity é uma das engines de jogos mais populares do mundo
A Unity Technologies, sediada em São Francisco, é a responsável pelo Unity, uma das principais plataformas de ferramentas para criadores construírem e expandirem jogos, apps e experiências em tempo real em múltiplas plataformas. O Unity impulsiona mais de 70% dos mil jogos mobile mais populares, e mais de 50% dos novos jogos mobile são criados nele, segundo a empresa.
Ameaça potencial às carteiras cripto
As fontes descreveram a ameaça como uma “injeção de código em processo”, mas não confirmaram se os dispositivos poderiam ser totalmente comprometidos. No entanto, afirmaram que o caminho poderia escalar para um comprometimento em nível de dispositivo no Android, sob certas condições.
Mesmo sem acesso completo ao dispositivo, o código malicioso poderia “tentar sobreposições, captura de entrada ou gravação de tela”, visando credenciais pessoais ou frases-semente de carteiras cripto, alertam as fontes.
Como se proteger
As fontes aconselharam os gamers mobile a atualizar qualquer jogo baseado no Unity à medida que os patches forem lançados e a evitar o sideloading, como instalar aplicativos de lojas não oficiais ou pacotes APK de sites.
Apps instalados via sideloading não passam pelo sistema de segurança do Google Play, o que permite que agentes maliciosos distribuam versões modificadas de jogos legítimos que explorem a falha do Unity. Além disso, esses apps não receberão automaticamente atualizações ou correções de segurança quando a Unity liberar patches.
Os usuários também devem revisar as permissões de seus dispositivos e desativar sobreposições ou serviços de acessibilidade desnecessários que rodem durante o uso de jogos.
Por fim, deve-se praticar a segregação de risco, mantendo carteiras cripto em um dispositivo ou conta separados do ambiente de jogos.
Esta é uma história em desenvolvimento, e mais informações serão adicionadas à medida que estiverem disponíveis.