모바일 게임이 암호화폐 지갑을 훔칠 위협을 하고 있습니다! 유니티 엔진, '8년 된 취약점' 긴급 수정
Unity 엔진은 2017년부터 존재해 온 프로그램 취약점을 발견했는데, 이로 인해 암호화폐 지갑이 유출될 수 있습니다. 인기 모바일 게임의 70% 이상이 Unity로 제작되었기 때문에 플레이어들 사이에 패닉을 불러일으켰습니다.
(예비 요약: 라이브 암 플레이어의 Steam 게임에서 암호화된 지갑이 해킹당했고 Valve가 숨겨진 트로이 목마 게임을 긴급 제거했습니다)
(배경 보충: OpenAI가 애니메이션 영화 제작에 도움을 줍니다! 머스크는 지지 않습니다: xAI와 "스타워즈 이브"가 AI 게임 개발 협력을 논의합니다)
Unity 엔진의 존재는 2017년으로 거슬러 올라갑니다. 2016년은 세계에서 가장 인기 있는 모바일 게임의 약 70%에 영향을 미쳤습니다. 해커는 감염된 게임을 통해 Android, Windows, macOS 및 Linux 시스템에 액세스하고 암호화폐 지갑 니모닉 또는 개인 키를 훔칠 수 있습니다. 코인텔레그래프에 따르면 취약점이 확인됐음에도 불구하고 구글은 플레이 스토어가 실제 범죄 사건을 '감지하지 못했다'고 지적했다.
취약점 범위 및 공격 경로
Unity는 새로운 게임의 50% 이상이 Unity를 기반으로 모바일 게임 시장을 장악하고 있기 때문에 취약점이 다수의 플레이어에게 확산될 수 있습니다. 해커는 애플리케이션 내부에 악성 코드를 심은 다음 오버레이 공격, 입력 캡처 또는 스크린샷을 통해 사용자가 지갑 비밀번호를 입력하도록 속이는 가짜 로그인 화면을 유도할 수 있습니다. 그러나 Google APP 팀은 다음과 같이 말했습니다.
현재 감지된 내용에 따르면 이 취약점을 악용하는 악성 앱은 Play 스토어에서 발견되지 않았습니다.
공식적으로 검열되는 Google Play에 비해 타사 웹사이트에서 APK를 설치하는 사이드로딩 동작은 위험이 더 높습니다. 사전 검사가 부족할 뿐만 아니라 Unity와 개발자가 이후에 출시하는 패치를 자동으로 얻을 수도 없습니다.
Unity는 파트너에게 패치 도구를 제공하기 시작했으며 다음 주에 지침을 공개적으로 업데이트할 계획입니다. 패치가 완전히 구현되기 전에 플레이어는 다음 네 가지 방법으로 암호화폐 자산을 보호할 수 있습니다.
- 언제든지 게임 및 시스템 업데이트
- 알 수 없는 출처에서 APK 다운로드 방지
- 다른 애플리케이션에 오버레이하는 등 불필요한 권한 확인 및 종료
- 게임을 플레이하는 데 사용되는 휴대폰에서 대량의 암호화폐 자산을 저장하는 별도의 장치
