Unity Technologies ha rilasciato una patch per correggere una vulnerabilità di sicurezza che avrebbe potuto consentire l'esecuzione di codice dannoso nei giochi Android creati con la sua piattaforma, potenzialmente rubandodentcome le frasi seed dei portafogli crittografici.
Nel suo avviso , Unity ha affermato che il bug rappresentava un rischio elevato; tuttavia, non ci sono prove di sfruttamento o impatto sugli utenti. È stato identificato per la prima volta dent 4 giugno dal ricercatore di sicurezza informatica RyotaK di GMO Flatt Security Inc. ed è stato classificato come CWE-426: Untrusted Search Path.
Unity Technologies, fornitore di strumenti di sviluppo 3D in tempo reale, supporta oltre il 70% dei 1.000 migliori giochi per dispositivi mobili al mondo.
Il bug di Unity ha interessato le versioni dell'editor, esponendo le app al caricamento dei file
Secondo quanto comunicato , la vulnerabilità ha interessato diverse piattaforme, tra cui Android, Windows, macOS e Linux. Una versione patchata di Unity Runtime è stata rilasciata il 2 ottobre e gli sviluppatori sono invitati ad aggiornare il loro software per evitare il rischio di exploit .
La vulnerabilità, con un punteggio CVSS di 8,4, è stata menzionata anche da RyotaK. In essa si afferma che le app dannose installate sui dispositivi potrebbero dirottare le autorizzazioni concesse alle app basate su Unity, consentendo agli aggressori di eseguire codice arbitrario da remoto.
Il direttore della community Larry "Major Nelson" Hryb ha pubblicato un avviso di sicurezza in cui afferma che le applicazioni che utilizzavano le versioni interessate di Unity Editor erano vulnerabili agli attacchi di caricamento file e di inclusione di file locali.
Gli aggressori potrebbero sfruttare questa falla per ottenere l'accesso a livello di privilegio dell'applicazione vulnerabile. I sistemi Windows correrebbero un rischio doppio se esistesse un gestore URI personalizzato registrato, che gli aggressori potrebbero utilizzare per attivare il caricamento della libreria da remoto.
La vulnerabilità Unity Runtime, presente nelle build realizzate prima del 2 ottobre, consentiva l'"argument injection", che poteva causare il caricamento di codice da posizioni indesiderate. Se compromessa, un malintenzionato avrebbe potuto eseguire comandi arbitrari o esfiltrare informazionidentda un dispositivo interessato.
La patch è attiva, i progetti iniziano a ricostruirsi
Unity ha confermato alla fine della scorsa settimana che le patch sono ora disponibili per tutti gli sviluppatori e ha consigliato loro di ricostruire i propri progetti con una versione patchata di Unity Editor. L'azienda ha inoltre raccomandato di applicare Unity Application Patcher alle build Android, Windows o macOS esistenti, per poi procedere con i test e la ridistribuzione.
Ciao sviluppatori XR! Potreste aver visto una notifica da Unity questa mattina.
Una vulnerabilità in Unity (dalla versione 2017.1 in poi) consente il caricamento non sicuro di file/l'inclusione di file locali che può portare all'esecuzione di codice o alla divulgazione di dati nelle applicazioni compilate.
Per rimediare, devi o... pic.twitter.com/h2PhFCQeX6
— Robi ᯅ (@xrdevrob) 3 ottobre 2025
Nella dichiarazione ufficiale, Unity ha ribadito che "non è stata riscontrata alcuna prova di sfruttamento attivo" e che nessun cliente è stato interessato. L'azienda ha aggiunto che sono state comunicate agli sviluppatori misure di mitigazione immediate per prevenire qualsiasi esposizione futura.
Su Android, il problema potrebbe portare all'esecuzione di codice o all'elevazione dei privilegi, mentre su Windows, Linux (desktop e embedded) e macOS, la falla potrebbe aver comportato rischi per i privilegi. L'avviso di Unity ha rilevato che i giochi per console non sono stati interessati, sebbene le applicazioni mobili e desktop basate su versioni vulnerabili di Unity siano state esposte a minacce.
Venerdì scorso, Microsoft ha anche emesso un avviso di sicurezza correlato, confermando che i team di sviluppo di giochi basati su Windows stavano esaminando e aggiornando tutti i titoli potenzialmente interessati. Da allora, Windows Defender è stato aggiornato per rilevare e bloccare eventuali exploit noti correlati all'exploit.
Gli hacker usano i giochi per rubare dati privati
L'industria del gaming in generale è stata minacciata da software dannosi, sviluppati da hacker che hanno camuffato giochi, persino contenuti scaricabili, come contenuti legittimi. Gli hacker nascondono malware in giochi popolari, demo o mod distribuiti tramite canali non ufficiali.
I giocatori potrebbero inconsapevolmente aiutare gli hacker scaricando versioni pirata di titoli come Grand Theft Auto V, God of War o Mortal Kombat 1, contenenti malware nascosti come Crackonosh. Una volta installato, il virus informatico sfrutta segretamente le risorse del computer dell'utente per estrarre valute digitali come Monero (XMR) "silenziosamente".
Alcuni malintenzionati iniettano codice dannoso tramite aggiornamenti post-lancio o reindirizzano gli utenti a siti esterni che ospitano file infetti. Dopo aver ingannato con successo i giocatori per fargli scaricare il gioco caricato, rubano dati personali, credenziali di gioco dent di criptovalute .
Nella sua dichiarazione, Hryb ha invitato sviluppatori e utenti ad aggiornare costantemente i propri sistemi operativi, ad abilitare gli aggiornamentimatic e a utilizzare software antivirus affidabili. Ha inoltre affermato che la sicurezza è una "responsabilità condivisa" nel gaming, poiché milioni di utenti interagiscono quotidianamente con le applicazioni basate su Unity.
