La plataforma de juegos Unity está implementando discretamente una solución para una vulnerabilidad que permite que código de terceros se ejecute en juegos móviles basados en Android, lo que puede apuntar potencialmente a billeteras de criptomonedas móviles, según dos fuentes anónimas.
La vulnerabilidad afecta a proyectos que datan de 2017, según las fuentes, quienes añadieron que la vulnerabilidad afecta principalmente al sistema operativo Android, pero los sistemas Windows, macOS y Linux también se ven afectados en diferentes grados.
Unity ha comenzado a distribuir soluciones y una herramienta de parcheo independiente de forma privada a socios seleccionados, según las fuentes, pero no se espera una guía pública hasta el lunes o martes de la próxima semana.
Cointelegraph contactó a Unity para obtener más información al respecto, pero no recibió una respuesta inmediata.
Un portavoz de Google dijo a Cointelegraph que están al tanto de la vulnerabilidad.
“Unity está poniendo un parche a disposición de los desarrolladores de aplicaciones para solucionar este problema, y los desarrolladores deben actualizar sus aplicaciones de inmediato”, dijo el portavoz.
“Google Play apoyará a los desarrolladores para que lancen versiones parcheadas de sus aplicaciones lo más rápido posible. Según nuestras detecciones actuales, no se encuentran aplicaciones maliciosas que aprovechen esta vulnerabilidad en Google Play”, añadieron.
Unity es uno de los motores de juegos más populares del mundo
Unity Technologies, con sede en San Francisco, es la empresa detrás de Unity, una plataforma líder de herramientas para que los creadores creen y hagan crecer juegos, aplicaciones y experiencias en tiempo real en múltiples plataformas. Unity impulsa más del 70% de los mil principales juegos móviles, y más del 50% de los nuevos juegos móviles se crean en Unity, según la compañía.
Amenaza potencial para las billeteras de criptomonedas
Las fuentes describieron la amenaza como una "inyección de código en proceso", pero no confirmaron si los dispositivos podrían ser secuestrados. Sin embargo, las fuentes afirmaron que la ruta podría escalar a un compromiso a nivel de dispositivo en Android bajo ciertas condiciones.
Incluso sin acceso total al dispositivo, el código malicioso podría "intentar superposiciones, captura de entradas o extracción de pantalla", lo que podría afectar las credenciales personales o las frases semilla de las billeteras de criptomonedas, advierten las fuentes.
Cómo puedes protegerte
Las fuentes han aconsejado a los jugadores móviles que actualicen cualquier juego basado en Unity cuando se lancen los parches y que eviten la carga lateral, como instalar aplicaciones de tiendas de aplicaciones no oficiales o de terceros, o descargar paquetes de aplicaciones de Android (APK) de sitios web.
Las aplicaciones de carga lateral no han sido examinadas por los sistemas de seguridad de Google Play, por lo que los actores maliciosos podrían distribuir versiones modificadas de juegos legítimos que aprovechen la falla de Unity. Las aplicaciones de carga lateral tampoco recibirán automáticamente actualizaciones o parches de seguridad cuando Unity publique las correcciones.
Los usuarios también deberían revisar los permisos de sus dispositivos y deshabilitar las superposiciones innecesarias o los servicios de accesibilidad que se ejecutan mientras juegan.
Finalmente, se debería practicar la segregación de riesgos, donde las billeteras de criptomonedas se mantienen en un dispositivo o cuenta separados de los dispositivos con los juegos.
Esta es una noticia en desarrollo, y se añadirá más información a medida que esté disponible.