Unity引擎爆出2017年起就有漏洞 可能导致加密货币钱包外泄

币圈子(120btc.CoM)：Unity引擎被爆料存在可追溯至2017年的「进程内码注入」漏洞，影响全球约七成热门手机游戏。黑客可透过受感染的游戏进入Android、Windows、macOS与Linux系统，窃取加密钱包助记词或私钥。根据Cointelegraph报导，漏洞虽已确认，但Google指出Play商店目前「未侦测到」实际犯罪案例。

漏洞范围与攻击路径

Unity占手机游戏市场的主导地位，超过50%新作以此打造，使漏洞可能遍及大量玩家。黑客可在应用程序内部植入恶意代码，再透过覆盖攻击、输入捕获或屏幕截图，引出假的登入画面诱骗用户输入钱包密码。但Google APP负责团队表示：基于我们目前的检测，利用此漏洞的恶意应用程序尚未在Play商店中被发现。

比起受官方审查的Google Play，从第三方网站安装APK的sideloading行为风险更高，不仅缺乏事前扫描，也无法自动取得Unity与开发者后续释出的修补。

Unity已开始向合作伙伴提供修补工具，并计划下周公开更新指引。在修补全面到位前，玩家可采取四个方法保护自己的加密资产：

• 随时更新游戏与系统

• 避免从不明来源下载APK

• 检查并关闭不必要权限，如覆盖于其他应用之上

• 将存放大量加密资产的装置与玩游戏的手机分开