ช่องโหว่ Unity เขย่าโลกเกม! เสี่ยง ‘ดูด’ Crypto จากมือถือ Android
#Unity #ทันหุ้น - ข้อมูลจาก Cointelegraph ได้ระบุว่า แพลตฟอร์มเกม Unity กำลังทยอยปล่อยไฟล์แก้ไขสำหรับช่องโหว่ด้านความปลอดภัยที่อนุญาตให้โค้ดจากภายนอก (third-party code) สามารถรันในเกมมือถือบนระบบ Android ได้ ซึ่งอาจเป็นช่องทางในการโจมตีกระเป๋าเงินคริปโตบนมือถือ ตามรายงานจากแหล่งข่าวสองรายที่ไม่เปิดเผยชื่อ
ช่องโหว่นี้ส่งผลกระทบต่อโปรเจกต์เกมที่พัฒนามาตั้งแต่ปี 2017 แหล่งข่าวระบุว่าช่องโหว่หลัก ๆ คือระบบ Android แต่ระบบ Windows, macOS และ Linux ก็ได้รับผลกระทบในระดับที่แตกต่างกันด้วย
ขณะนี้ Unity ได้เริ่มแจกจ่ายไฟล์แก้ไขและเครื่องมือแพตช์แบบสแตนด์อโลนเป็นการส่วนตัวให้กับพาร์ทเนอร์ที่ถูกเลือกแล้ว แต่คาดว่าคำแนะนำสาธารณะจะถูกเผยแพร่จนกว่าจะถึงวันจันทร์หรือวันอังคารหน้า Cointelegraph ได้ติดต่อ Unity เพื่อขอข้อมูลเพิ่มเติม แต่ไม่ได้รับการตอบกลับทันที
โฆษกของ Google กล่าวกับ Cointelegraph ว่าพวกเขาทราบถึงช่องโหว่นี้แล้ว และกล่าวว่า “Unity กำลังจัดทำแพตช์ให้ผู้พัฒนาแอปเพื่อแก้ไขปัญหานี้ และผู้พัฒนาควรอัปเดตแอปของตนทันที” พร้อมระบุว่า “Google Play จะสนับสนุนช่วยให้ผู้พัฒนาเผยแพร่แอปเวอร์ชันที่ได้รับการแพตช์อย่างรวดเร็วที่สุด” และเสริมว่า “จากการตรวจจับปัจจุบันของเรา ไม่พบแอปอันตรายที่ใช้ช่องโหว่นี้บน Play [Store]”
Unity คือหนึ่งในเอนจินเกมที่ได้รับความนิยมมากที่สุดในโลก
Unity Technologies ซึ่งตั้งอยู่ในซานฟรานซิสโก เป็นผู้พัฒนา Unity แพลตฟอร์มเครื่องมือชั้นนำสำหรับผู้สร้างในการสร้างและขยายเกม, แอป, และประสบการณ์แบบเรียลไทม์บนหลายแพลตฟอร์ม ตามข้อมูลของบริษัท Unity เป็นพลังขับเคลื่อนเกมมือถือติดอันดับพันอันดับแรกกว่า 70% และเกมมือถือใหม่กว่า 50% ถูกสร้างขึ้นด้วย Unity
ภัยคุกคามที่อาจเกิดขึ้นกับกระเป๋าเงินคริปโต
แหล่งข่าวอธิบายภัยคุกคามนี้ว่าเป็น "การฉีดโค้ดระหว่างการประมวลผล (in-process code injection)" แต่ไม่ได้ยืนยันว่าอุปกรณ์จะถูกเข้าควบคุมได้หรือไม่ อย่างไรก็ตาม แหล่งข่าวกล่าวว่าช่องทางนี้สามารถขยายไปสู่การเข้าควบคุมอุปกรณ์ในระดับระบบปฏิบัติการ Android ได้ภายใต้เงื่อนไขบางประการ
แหล่งข่าวเตือนว่า แม้จะไม่สามารถเข้าถึงอุปกรณ์ได้อย่างสมบูรณ์ โค้ดที่เป็นอันตรายก็สามารถ "พยายามซ้อนทับ (overlays), ดักจับการป้อนข้อมูล (input capture), หรือขูดหน้าจอ (screen scraping)" ซึ่งสามารถมุ่งเป้าไปที่ข้อมูลประจำตัวส่วนบุคคลหรือ Seed Phrases (วลีกู้คืน) ของกระเป๋าเงินคริปโต
วิธีป้องกันตนเอง
แหล่งข่าวแนะนำให้ เกมเมอร์มือถือ ป้องกันตนเองดังนี้:
- อัปเดตเกม: อัปเดตเกมที่ใช้ Unity ทันทีที่มีการปล่อยแพตช์ออกมา
- หลีกเลี่ยงการ Sideloading: เช่น การติดตั้งแอปจากร้านค้าที่ไม่เป็นทางการ หรือการดาวน์โหลดไฟล์ APK (Android Application Packages) จากเว็บไซต์โดยตรง เนื่องจากแอปที่ถูก Sideload จะไม่ได้รับการตรวจสอบจากระบบความปลอดภัยของ Google Play และจะไม่ได้รับอัปเดตความปลอดภัยหรือแพตช์โดยอัตโนมัติเมื่อ Unity ปล่อยไฟล์แก้ไข
- ตรวจสอบการอนุญาตของอุปกรณ์: ผู้ใช้ควรตรวจสอบการอนุญาตของอุปกรณ์และ ปิดการใช้งาน บริการซ้อนทับ (overlays) หรือบริการการเข้าถึง (accessibility services) ที่ไม่จำเป็นขณะเล่นเกม
- การแยกความเสี่ยง (Risk Segregation): ควรปฏิบัติโดยการจัดเก็บกระเป๋าเงินคริปโตไว้ใน อุปกรณ์ หรือบัญชีที่แยกต่างหาก จากอุปกรณ์หรือบัญชีที่ใช้เล่นเกม
ที่มา https://cointelegraph.com/news/unity-android-flaw-could-imperil-mobile-gamers-crypto-assets-how-protect-yourself
Tag
ยอดนิยมในตอนนี้