Um bug do Android da Unity pode drenar sua carteira? Veja como verificar

Os aplicativos de criptografia e jogos construídos com unidade estão enfrentando um problema de segurança, pois uma vulnerabilidade permite que um aplicativo malicioso já nos dispositivos coagir um aplicativo de unidade vulnerável a carregar código hostil.

Unidade revelou a vulnerabilidade CVE-2025-59489 em 2 de outubroobservando que o código é executado com as próprias permissões do jogo no Android, permitindo a execução do código local.

Nas plataformas de desktop, o risco centra -se na elevação do privilégio. A Unity diz que não há evidências de exploração na natureza, mas pede atualizações rápidas. O bug força o tempo de execução da Unity a aceitar argumentos de pré-inicialização específicos que influenciam onde procura bibliotecas nativas.

Se um invasor puder controlar esse caminho de pesquisa, o aplicativo da Unity poderá carregar e executar a biblioteca do atacante. A empresa de segurança OGM Flatt explicou que o produto confia nos recursos encontrados em um caminho externo ou influenciado pelo atacante.

Como verificar a ameaça a aplicativos relacionados a criptografia

Muitos aplicativos criados em unidade integram sdks de carteira, logins de custódia ou sessões no estilo WalletConnect. O código injetado nesse aplicativo de unidade específico pode ler seus arquivos privados, seqüestrar seu WebView, chamar as mesmas APIs de assinatura ou exfiltrar os tokens de sessão.

Embora o código não salte caixas de areia para drenar aplicativos de carteira não relacionados, o aplicativo de unidade vulnerável contém chaves ou pode solicitar assinaturas via Android Keystore. Como resultado, um invasor pode pegar ações permitidas.

A própria consultoria da Unity enfatizou que o impacto está confinado aos privilégios do aplicativo, exatamente as permissões em que uma carteira embebida em jogos dependeria.

Para verificar se um dispositivo é afetado, a primeira etapa é verificar a data das páginas da loja de aplicativos. No Android, se um aplicativo habilitado para jogo ou carteira mostrar uma atualização em ou após 2 de outubro, é provável que o desenvolvedor tenha reconstruído com um editor de unidade fixo ou o patch da unidade aplicada.

Por outro lado, as construções anteriores devem ser tratadas como potencialmente vulnerável até que eles sejam atualizados. A unidade enfatizou que não há exploração conhecida até agora, mas existe a exposição se os usuários também instalarem aplicativos maliciosos que podem acionar o caminho.

Manter o Protect de Play Protect ativado, evitando aplicações de lado e a poda de aplicativos suspeitos estão entre as práticas recomendadas para permanecer seguro enquanto aguardam atualizações.

Para os desenvolvedores, é recomendável verificar qual editor de unidade produziu a construção do Android em uso e compará -lo com a tabela de versões fixas da Unity.

As versões remendadas incluem 6000.0.58F2 (Unity 6 LTS), 2022.3.67F2 e 2021.3.56f2. A Unity também publicou as primeiras tags fixas para fluxos fora de suporte de volta para 2019.1. Quaisquer compilações anteriores às versões descritas devem ser tratadas como ângulos de exploração

Permanecendo alerta

Mesmo depois de corrigir o problema, os usuários devem tratar os fluxos integrados à carteira defensivamente. Garantir que as frases de sementes nunca sejam armazenadas em texto sem formatação e a aplicação de instruções biométricas para todas as transferências são boas práticas.

Além disso, os usuários podem aproveitar o Android Keystore para chaves que exigem confirmação explícita do usuário para todas as operações de assinatura.

Desconectar qualquer sessões remanescentes da WalleTConnect e manter saldos maiores em uma carteira de hardware até que os desenvolvedores confirmem que a construção da unidade remendada está ao vivo é uma etapa extra útil. Essas medidas reduzem o raio da explosão, mesmo que um bug futuro de carregamento de caminho fosse descoberto.

Embora o CVE-2025-59489 seja sério, ele possui correções bem definidas e orientações operacionais claras que usuários e desenvolvedores podem seguir para se manter seguro.

Fonte

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 61833

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights