Unity Technology는 안드로이드 모바일 버그를 수정하고 악용 가능성을 부인했습니다

유니티 테크놀로지스는 자사 플랫폼으로 개발된 안드로이드 게임에서 악성 코드 실행을 허용하여 암호화폐 지갑 시드 구문과 같은dent정보를 탈취할 수 있는 보안 취약점을 수정하는 패치를 출시했습니다. 

보안 업데이트 권고해당 버그가 심각도가 높은 위험을 초래한다고 밝혔지만, 현재까지 악용 사례나 사용자에게 영향을 미친 증거는 없다고 덧붙였습니다. 이 버그는 6월 4일 GMO Flatt Security Inc.의 사이버 보안 연구원 RyotaK에 의해 처음 발견되었으며dentCWE-426: 신뢰할 수 없는 검색 경로로 분류되었습니다. 

실시간 3D 개발 도구 제공업체인 유니티 테크놀로지스는 전 세계 상위 1,000개 모바일 게임 중 70% 이상을 개발하는 데 사용하고 있습니다.

Unity 버그로 인해 에디터 버전에 문제가 발생하여 앱이 파일 로딩에 취약해졌습니다

에 따르면 공개된 정보위험을 방지하기 위해 소프트웨어를 업데이트할 것을 권고받고 있습니다 악용.

RyotaK에서도 언급된 이 취약점은 CVSS 점수 8.4를 기록했으며, 기기에 설치된 악성 앱이 Unity로 개발된 앱에 부여된 권한을 탈취하여 공격자가 원격으로 임의 코드를 실행할 수 있도록 허용한다고 합니다.

커뮤니티 디렉터인 래리 "메이저 넬슨" 흐립은 영향을 받는 유니티 에디터 버전을 사용하는 애플리케이션이 파일 로딩 및 로컬 파일 포함 공격에 취약하다는 보안 권고를 발표했습니다.

공격자는 이 취약점을 악용하여 취약한 애플리케이션의 권한 수준에 접근할 수 있습니다. Windows 시스템의 경우, 등록된 사용자 지정 URI 핸들러가 있는 경우 공격자가 이를 이용하여 원격으로 라이브러리 로딩을 트리거할 수 있으므로 위험이 두 배로 증가합니다.

10월 2일 이전에 빌드된 버전에 존재하는 취약한 Unity 런타임은 "인수 주입"을 허용하여 의도치 않은 위치에서 코드를 로드할 수 있었습니다. 공격자가 이를 악용할 경우, 임의의 명령을 실행하거나 감염된 기기에서dent정보를 유출할 수 있습니다.

패치가 적용되었습니다. 프로젝트 재구축이 시작됩니다

유니티는 지난주 말 모든 개발자를 위해 패치가 제공되었음을 확인하고, 패치된 버전의 유니티 에디터를 사용하여 프로젝트를 다시 빌드할 것을 권장했습니다. 또한 기존 안드로이드, 윈도우 또는 macOS 빌드에 유니티 애플리케이션 패처를 적용한 후 테스트 및 재배포할 것을 권장했습니다.

안녕하세요, XR 개발자 여러분! 오늘 아침 Unity에서 알림을 받으셨을 수도 있습니다.

Unity(2017.1 버전 이후)의 취약점으로 인해 안전하지 않은 파일 로딩/로컬 파일 포함이 가능하며, 이는 빌드된 애플리케이션에서 코드 실행이나 데이터 유출로 이어질 수 있습니다.

문제를 해결하려면 다음 중 하나를 해야 합니다… pic.twitter.com/h2PhFCQeX6

— Robi ᯅ (@xrdevrob) 2025년 10월 3일

유니티는 공식 성명을 통해 "활발한 악용 사례는 발견되지 않았으며" 고객에게 피해가 없었다고 재차 강조했습니다. 또한 향후 유사한 문제가 발생하지 않도록 개발자들에게 즉각적인 완화 조치를 전달했다고 덧붙였습니다.

안드로이드에서는 이 문제로 인해 코드 실행이나 권한 상승이 발생할 수 있으며, 윈도우, 리눅스(데스크톱 및 임베디드), macOS에서는 권한 위험이 발생할 수 있습니다. 유니티의 권고 사항에 따르면 콘솔 게임은 영향을 받지 않았지만, 취약한 유니티 버전을 기반으로 구축된 모바일 및 데스크톱 애플리케이션은 위협에 노출될 수 있습니다.

지난 금요일, 마이크로소프트는 윈도우 기반 게임 개발팀들이 잠재적으로 영향을 받을 수 있는 게임들을 검토하고 업데이트하고 있다는 내용의 관련 보안 경고를 발표했습니다. 이후 윈도우 디펜더는 해당 취약점과 관련된 알려진 모든 공격을 탐지하고 차단하도록 업데이트되었습니다.

해커들이 게임을 이용해 개인 정보를 훔치고 있습니다

게임 업계 전반은 해커들이 개발한 악성 소프트웨어의 위협에 직면해 있습니다. 해커들은 게임이나 다운로드 가능한 콘텐츠를 합법적인 콘텐츠로 위장하여 배포합니다. 인기 게임, 데모, 모드 등을 비공식 경로를 통해 유포하는 것입니다. 

게이머들은 크래코노쉬(Crackonosh)와 같은 악성코드가 숨겨진 불법 복제 버전을 다운로드하여 자신도 모르게 해커들을 도울 수 있습니다 그랜드 테프트 오토 V, 갓 오브 워, 모탈 컴뱃 1 와 같은 디지털 화폐를 채굴합니다 모네로 .

일부 악의적인 공격자는 게임 출시 후 업데이트를 통해 악성 코드를 삽입하거나 감염된 파일을 호스팅하는 외부 사이트로 사용자를 리디렉션합니다. 게이머를 속여 악성 게임을 다운로드하게 만든 후, 개인 데이터, 게임 계정 정보 또는 암호화폐 지갑dent를. 

흐리브는 성명에서 개발자와 사용자들에게 운영 체제를 항상 최신 상태로 유지하고,matic 업데이트를 활성화하며, 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용할 것을 촉구했습니다. 또한 수백만 명의 사용자가 매일 유니티 기반 애플리케이션을 사용하고 있기 때문에 게임 업계의 보안은 "공동의 책임"이라고 강조했습니다.