A Unity Technology corrige uma falha de segurança em dispositivos móveis Android e nega a exploração da vulnerabilidade

A Unity Technologies lançou uma atualização para corrigir uma vulnerabilidade de segurança que poderia permitir a execução de código malicioso em jogos Android desenvolvidos com sua plataforma, potencialmente roubandodentcomo frases-semente de carteiras de criptomoedas. 

Em seu aviso, a Unity afirmou que a falha representava um risco de alta gravidade; no entanto, não há evidências de exploração ou impacto nos usuários. Ela foi identificada pela primeira vezdent4 de junho pelo pesquisador de segurança cibernética RyotaK, da GMO Flatt Security Inc., e classificada como CWE-426: Caminho de Busca Não Confiável. 

A Unity Technologies, fornecedora de ferramentas de desenvolvimento 3D em tempo real, é responsável pela tecnologia de mais de 70% dos 1.000 jogos para dispositivos móveis mais populares do mundo.

Um bug no Unity afetou versões do editor, expondo aplicativos ao carregamento de arquivos

De acordo com o comunicado, a vulnerabilidade afetou diversas plataformas, incluindo Android, Windows, macOS e Linux. Uma versão corrigida do Unity Runtime foi lançada em 2 de outubro, e os desenvolvedores estão sendo fortemente aconselhados a atualizar seus softwares para evitar o risco de exploração.

A vulnerabilidade, com uma pontuação CVSS de 8,4, também foi mencionada por RyotaK. Segundo ele, aplicativos maliciosos instalados em dispositivos podem sequestrar as permissões concedidas a aplicativos criados com Unity, permitindo que invasores executem código arbitrário remotamente.

O diretor de comunidade Larry “Major Nelson” Hryb publicou um aviso de segurança informando que os aplicativos que utilizavam versões afetadas do Unity Editor estavam vulneráveis ​​a ataques de carregamento de arquivos e inclusão de arquivos locais.

Os atacantes poderiam explorar essa falha para obter acesso ao nível de privilégio da aplicação vulnerável. Os sistemas Windows enfrentavam o dobro do risco se existisse um manipulador de URI personalizado registrado, que os atacantes poderiam usar para acionar o carregamento de bibliotecas remotamente.

A vulnerabilidade do Unity Runtime, presente em versões anteriores a 2 de outubro, permitia a "injeção de argumentos", o que poderia resultar no carregamento de código de locais não intencionais. Se comprometida, um invasor poderia executar comandos arbitrários ou extrair informaçõesdentde um dispositivo afetado.

A atualização já está disponível, os projetos começam a ser reconstruídos

A Unity confirmou no final da semana passada que as correções já estão disponíveis para todos os desenvolvedores e recomendou que eles reconstruam seus projetos com uma versão corrigida do Unity Editor. A empresa também recomendou aplicar o Unity Application Patcher às versões existentes para Android, Windows ou macOS, seguido de testes e reimplementação.

Olá, desenvolvedores de XR! Vocês podem ter visto uma notificação da Unity esta manhã.

Uma vulnerabilidade no Unity (a partir da versão 2017.1) permite o carregamento inseguro de arquivos/inclusão de arquivos locais, o que pode levar à execução de código ou à divulgação de dados em aplicativos compilados.

Para remediar, você deve… pic.twitter.com/h2PhFCQeX6

— Robi ᯅ (@xrdevrob) 3 de outubro de 2025

Em comunicado oficial, a Unity reiterou que “nenhuma evidência de exploração ativa” foi encontrada e que nenhum cliente foi afetado. A empresa acrescentou que medidas imediatas de mitigação foram comunicadas aos desenvolvedores para evitar qualquer exposição futura.

No Android, o problema poderia levar à execução de código ou à elevação de privilégios, enquanto no Windows, Linux (desktop e embarcado) e macOS, a falha poderia resultar em riscos de privilégios. O comunicado da Unity observou que os jogos para console não foram afetados, embora aplicativos móveis e de desktop criados em versões vulneráveis ​​da Unity estivessem expostos a ameaças.

Na última sexta-feira, a Microsoft também emitiu um alerta de segurança relacionado, confirmando que as equipes de desenvolvimento de jogos para Windows estavam revisando e atualizando todos os títulos potencialmente afetados. O Windows Defender foi atualizado desde então para detectar e bloquear quaisquer vulnerabilidades conhecidas relacionadas à falha de segurança.

Hackers usam jogos para roubar dados privados

A indústria de jogos em geral vem enfrentando ameaças de softwares maliciosos, desenvolvidos por hackers que disfarçam jogos, inclusive conteúdo para download, como conteúdo legítimo. Os hackers escondem malware em jogos populares, demos ou mods distribuídos por canais não oficiais. 

Jogadores podem, sem saber, ajudar hackers ao baixar versões piratas de jogos como Grand Theft Auto V, God of Warou Mortal Kombat 1, que contêm malware oculto, como o Crackonosh. Uma vez instalado, o vírus utiliza os recursos do computador do usuário de forma secreta para minerar criptomoedas como Monero (XMR) "silenciosamente".

Alguns agentes maliciosos injetam código prejudicial por meio de atualizações pós-lançamento ou redirecionam os usuários para sites externos que hospedam arquivos infectados. Depois de enganar com sucesso os jogadores para que baixem o jogo infectado, eles roubam dados pessoais, credenciais de jogos ou de criptomoedasdentcarteiras. 

Em sua declaração, Hryb pediu aos desenvolvedores e usuários que sempre mantenham seus sistemas operacionais atualizados, habilitem as atualizaçõesmatic e usem softwares antivírus confiáveis. Ele também afirmou que a segurança é uma “responsabilidade compartilhada” nos jogos, pois milhões de usuários interagem diariamente com aplicativos que utilizam a plataforma Unity.