曝 Unity 游戏引擎存重大漏洞，可致安卓用户损失钱财、个人资料被盗

消息源 Cointelegraph 今天透露，Unity 游戏引擎存在重大漏洞，可被黑客利用导致安卓用户遭受钱财损失等后果。

消息人士表示，该漏洞可允许第三方代码寄生运行在基于 Unity 引擎的安卓手游上，其攻击过程类似“进程内代码注入”，目前尚不明确是否能完全接管设备，但在特定条件下可让漏洞升级为设备级别的入侵。

即使这个漏洞无法完整控制设备，黑客依然可以利用这个漏洞实施覆盖用户界面、监听输入法、偷偷截屏，窃取用户的个人资料或加密钱包助记词。同时该人士还表示，该漏洞可追溯至 2017 年，主要影响安卓平台，但 Windows、Linux、macOS 平台也有不同程度的影响。

根据爆料，Unity 已经开始私下向部分合作伙伴分发漏洞修复方案和独立补丁，但预计要到下周一或周二才会公开发布相关指南，目前 Unity 官方对此事尚未有回应。

谷歌发言人则对 Cointelegraph 表示，他们已经知晓该漏洞存在，称 Unity 正在为开发者提供补丁以解决问题，谷歌 Play 也将协助开发者尽快发布应用更新，根据他们的检测，目前还没有在 Play 商店里发现利用该漏洞的恶意应用。

消息人士建议，移动端游戏玩家应该在官方发布补丁后立即更新所有基于 Unity 引擎的游戏，不要从非官方渠道下载应用，也不要随便在网站上下载 APK 文件（IT之家注：安装包），还应该检查手机的权限使用记录，避免打开游戏的悬浮窗或辅助功能。