Компания Unity Technology исправила ошибку в мобильной версии Android и опровергла возможность её использования

Компания Unity Technologies выпустила патч для устранения уязвимости безопасности, которая могла позволить выполнение вредоносного кода в играх для Android, созданных на её платформе, потенциально приводя к кражеdentданных, таких как сид-фразы криптокошельков. 

В своем уведомлениикомпания Unity заявила, что ошибка представляет собой серьезную угрозу; однако нет никаких доказательств ее использования или влияния на пользователей. Впервые она былаdent4 июня исследователем кибербезопасности РётойК из GMO Flatt Security Inc. и классифицирована как CWE-426: Ненадежный путь поиска. 

Компания Unity Technologies, поставщик инструментов для разработки 3D-игр в реальном времени, обеспечивает работу более 70% из 1000 лучших мобильных игр в мире.

Ошибка в Unity затронула различные версии редактора, сделав приложения уязвимыми для загрузки файлов

Согласно полученной информации, уязвимость затронула несколько платформ, включая Android, Windows, macOS и Linux. Исправленная версия Unity Runtime была выпущена 2 октября, и разработчикам настоятельно рекомендуется обновить свое программное обеспечение, чтобы избежать риска использования эксплойтов.

Уязвимость с оценкой CVSS 8,4 также была упомянута пользователем RyotaK. В нем говорится, что вредоносные приложения, установленные на устройствах, могут перехватывать разрешения, предоставленные приложениям, созданным в Unity, что позволяет злоумышленникам удаленно выполнять произвольный код.

Директор по работе с сообществом Ларри «Майор Нельсон» Хриб опубликовал уведомление о безопасности, в котором говорилось, что приложения, использующие затронутые версии редактора Unity, уязвимы для атак с загрузкой файлов и включением локальных файлов.

Злоумышленники могли использовать эту уязвимость для получения доступа к уязвимому приложению на более высоком уровне привилегий. В системах Windows риск удваивался, если существовал зарегистрированный пользовательский обработчик URI, который злоумышленники могли использовать для удаленного запуска загрузки библиотеки.

Уязвимая среда выполнения Unity, присутствующая в сборках, созданных до 2 октября, допускала «внедрение аргументов», что могло привести к загрузке кода из непредусмотренных мест. В случае компрометации злоумышленник мог бы выполнять произвольные команды или похищатьdentинформацию с зараженного устройства.

Обновление запущено, проекты начинают перестройку

В конце прошлой недели компания Unity подтвердила, что патчи теперь доступны для всех разработчиков, и посоветовала разработчикам пересобрать свои проекты с помощью пропатченной версии редактора Unity. Компания также рекомендовала применить Unity Application Patcher к существующим сборкам для Android, Windows или macOS, после чего провести тестирование и повторное развертывание.

Привет, разработчики XR! Возможно, сегодня утром вы видели уведомление от Unity.

В Unity (начиная с версии 2017.1) обнаружена уязвимость, позволяющая небезопасно загружать файлы / включать локальные файлы, что может привести к выполнению кода или раскрытию данных в собранных приложениях.

Для исправления ситуации вам необходимо либо… pic.twitter.com/h2PhFCQeX6

— Robi ᯅ (@xrdevrob) 3 октября 2025 г.

В официальном заявлении компания Unity подтвердила, что «никаких признаков активной эксплуатации» обнаружено не было и что ни один клиент не пострадал. Компания добавила, что разработчикам были незамедлительно приняты меры по предотвращению подобных инцидентов в будущем.

На Android эта проблема могла привести к выполнению кода или повышению привилегий, в то время как на Windows, Linux (настольных и встроенных системах) и macOS уязвимость могла создать риски для привилегий. В уведомлении Unity отмечалось, что консольные игры не были затронуты, хотя мобильные и настольные приложения, созданные на основе уязвимых версий Unity, подвергались угрозам.

В прошлую пятницу Microsoft также выпустила связанное с этим предупреждение о безопасности, подтверждающее, что команды разработчиков игр для Windows проверяют и обновляют все потенциально затронутые игры. С тех пор Windows Defender был обновлен для обнаружения и блокировки любых известных уязвимостей, связанных с этой уязвимостью.

Хакеры используют игры для кражи личных данных

В целом, игровая индустрия сталкивается с угрозами со стороны вредоносного программного обеспечения, разработанного хакерами, которые маскируют игры, даже загружаемый контент, под легитимный контент. Хакеры скрывают вредоносные программы в популярных играх, демоверсиях или модификациях, распространяемых через неофициальные каналы. 

Геймеры могут неосознанно помогать хакерам, скачивая пиратские версии таких игр, как Grand Theft Auto V, God of Warили Mortal Kombat 1 , содержащие скрытое вредоносное ПО, например, Crackonosh. После установки компьютерный вирус незаметно использует ресурсы компьютера пользователя для «тихой» добычи цифровых валют, таких как Monero (XMR).

Некоторые злоумышленники внедряют вредоносный код через обновления после запуска игры или перенаправляют пользователей на внешние сайты, содержащие зараженные файлы. Успешно обманом заставив геймеров загрузить зараженную игру, они крадут личные данные, игровые криптовалютныеdentкошельки. 

В своем заявлении Гриб призвал разработчиков и пользователей всегда обновлять свои операционные системы, включатьmatic обновления и использовать надежное антивирусное программное обеспечение. Он также отметил, что безопасность является «общей ответственностью» в игровой индустрии, поскольку миллионы пользователей ежедневно взаимодействуют с приложениями на базе Unity.