Unity-Android-Sicherheitslücke könnte die Krypto-Wallets von Gamern leeren: So schützen Sie sich

Die Unity-Gaming-Plattform führt derzeit stillschweigend eine Behebung für eine Schwachstelle ein, die es Drittanbieter-Code ermöglicht, in Android-basierten Mobile Games ausgeführt zu werden und potenziell mobile Krypto-Wallets ins Visier nehmen kann, wie zwei anonyme Quellen berichten.

Die Schwachstelle betrifft Projekte, die bis ins Jahr 2017 zurückreichen, so die Quellen weiter. Sie fügten hinzu, dass die Schwachstelle hauptsächlich Android betrifft, aber auch Windows-, macOS- und Linux-Systeme in unterschiedlichem Maße betroffen sind.

Laut den Quellen hat Unity damit begonnen, Fixes und ein eigenständiges Patch-Tool privat an ausgewählte Partner zu verteilen, aber öffentliche Hinweise werden erst am Montag oder Dienstag der nächsten Woche erwartet.

Cointelegraph hat Unity für weitere Informationen kontaktiert, aber bislang keine sofortige Antwort erhalten.

Ein Google-Sprecher teilte Cointelegraph mit, dass sie sich der Schwachstelle bewusst sind.

„Unity stellt App-Entwicklern einen Patch zur Verfügung, um dieses Problem zu beheben, und Entwickler sollten ihre Apps umgehend aktualisieren“, sagte der Sprecher.

„Google Play wird Entwickler dabei unterstützen, gepatchte Versionen ihrer Apps so schnell wie möglich zu veröffentlichen. Nach unseren aktuellen Erkennungen wurden auf Play keine bösartigen Apps gefunden, die diese Schwachstelle ausnutzen“, fügte er hinzu.

Unity ist eine der weltweit beliebtesten Game Engines

Das in San Francisco ansässige Unternehmen Unity Technologies steht hinter Unity, einer führenden Plattform mit Tools für Kreative, um Echtzeit-Spiele, Apps und Erlebnisse plattformübergreifend zu entwickeln und zu skalieren. Laut dem Unternehmen werden über 70 % der Top-1000-Mobile-Games von Unity betrieben, und mehr als 50 % der neuen Mobile Games werden mit Unity erstellt.

Harold Halibut: eines der neuesten Spiele, die mit der Unity-Engine entwickelt wurden. Quelle: Unity

Potenzielle Bedrohung für Krypto-Wallets

Die Quellen beschrieben die Bedrohung als eine „In-Process-Code-Injektion“, konnten jedoch nicht bestätigen, ob Geräte vollständig übernommen werden können. Die Quellen sagten jedoch, dass der Angriffsweg unter bestimmten Bedingungen zu einer Kompromittierung auf Geräteebene auf Android eskalieren könnte.

Auch ohne vollständigen Gerätezugriff könnte der bösartige Code „Overlays versuchen, Eingaben abfangen oder Screenscraping durchführen“, was auf persönliche Zugangsdaten oder Seed-Phrasen von Krypto-Wallets abzielen könnte, warnen die Quellen.

Wie Sie sich schützen können

Die Quellen raten Mobile Gamern, alle auf Unity basierenden Spiele zu aktualisieren, sobald Patches verfügbar sind, und das Sideloading zu vermeiden, also das Installieren von Apps aus nicht offiziellen oder Drittanbieter-App-Stores oder das Herunterladen von Android Application Packages (APKs) von Websites.

Sideloaded Apps wurden nicht durch die Sicherheitssysteme von Google Play überprüft, sodass böswillige Akteure modifizierte Versionen legitimer Spiele verbreiten könnten, die die Unity-Schwachstelle ausnutzen. Sideloaded Apps erhalten zudem keine automatischen Sicherheitsupdates oder Patches, wenn Unity Fixes veröffentlicht.

Nutzer sollten außerdem ihre Geräteberechtigungen überprüfen und unnötige Overlays oder Bedienungshilfen deaktivieren, die während des Spielens laufen.

Schließlich sollte eine Risikotrennung praktiziert werden, indem Krypto-Wallets auf einem separaten Gerät oder Konto vom Gaming aufbewahrt werden.

Dies ist eine sich entwickelnde Geschichte, und weitere Informationen werden hinzugefügt, sobald sie verfügbar sind.