Eine schwerwiegende Sicherheitslücke in der weitverbreiteten Unity-Spiele-Engine ermöglicht es Angreifern, schädlichen Code in mobile Spiele einzuschleusen. Dies stellt eine direkte Gefahr für die Krypto-Wallets und persönlichen Daten von Spielern dar, insbesondere auf Android-Geräten. Unity hat mit der Verteilung von Korrekturen begonnen, während Google Entwickler zur sofortigen Aktualisierung ihrer Apps auffordert.
Wichtige Informationen
- In der Unity-Engine wurde eine Sicherheitslücke entdeckt, die Code-Injektionen in mobilen Spielen ermöglicht.
- Das Hauptrisiko besteht für Android-Nutzer, deren Krypto-Wallets und Zugangsdaten ausgespäht werden könnten.
- Unity verteilt bereits Updates an ausgewählte Partner; eine öffentliche Bekanntmachung wird erwartet.
- Google hat die Schwachstelle bestätigt und fordert Entwickler auf, ihre Apps umgehend zu aktualisieren.
- Nutzern wird geraten, Spiele nur aus offiziellen Quellen zu beziehen und Updates sofort zu installieren.
Details zur Sicherheitslücke in der Unity-Engine
Die entdeckte Schwachstelle wird als „In-Process Code Injection“ beschrieben. Vereinfacht gesagt, erlaubt dieser Fehler Dritten, eigenen, bösartigen Code direkt in den laufenden Prozess eines Spiels auf einem Gerät einzufügen. Da die Unity-Engine die technische Grundlage für unzählige mobile Spiele bildet, ist die potenzielle Reichweite dieser Sicherheitslücke enorm.
Quellen, die anonym bleiben möchten, gaben an, dass von dem Problem Projekte betroffen sind, die bis ins Jahr 2017 zurückreichen. Dies bedeutet, dass eine große Anzahl älterer, aber immer noch beliebter Spiele anfällig sein könnte.
Betroffene Plattformen und das Hauptziel Android
Obwohl die Schwachstelle in unterschiedlichem Maße auch Systeme wie Windows, macOS und Linux betrifft, liegt der Fokus der Angriffsgefahr klar auf dem Android-Betriebssystem. Die offene Natur von Android und die Möglichkeit, Apps aus Drittquellen zu installieren (Sideloading), erhöhen das Risiko für Nutzer erheblich.
Unter bestimmten Umständen könnte die Schwachstelle auf Android-Geräten sogar zu einer Kompromittierung auf Systemebene führen. Dies würde Angreifern weitreichende Kontrolle über das betroffene Gerät geben.
Marktdominanz von Unity
Die Relevanz dieser Sicherheitslücke wird durch die Marktstellung von Unity unterstrichen. Laut Unternehmensangaben laufen über 70 % der 1.000 erfolgreichsten mobilen Spiele mit der Unity-Engine. Zudem werden mehr als 50 % aller neuen mobilen Spiele mit Unity entwickelt. Diese Zahlen verdeutlichen, wie viele Millionen Nutzer potenziell betroffen sein könnten.
Die Gefahr für Krypto-Wallets und persönliche Daten
Die größte Sorge bei dieser Art von Angriff ist der Diebstahl sensibler Informationen. Selbst ohne vollständigen Zugriff auf das Gerät kann der eingeschleuste Schadcode gefährliche Aktionen ausführen. Dazu gehören Techniken, die speziell auf den Diebstahl von Zugangsdaten abzielen.
Experten warnen vor folgenden Methoden:
- Overlays: Der Schadcode legt eine gefälschte Eingabemaske über eine legitime App (z.B. eine Krypto-Wallet oder Banking-App). Der Nutzer gibt seine Daten in die Maske ein, ohne zu bemerken, dass sie abgefangen werden.
- Input Capture: Jede Tastatureingabe des Nutzers wird mitgeschnitten (Keylogging). So können Passwörter, private Nachrichten und Seed-Phrases für Krypto-Wallets gestohlen werden.
- Screen Scraping: Der Schadcode erstellt Bildschirmaufnahmen oder zeichnet den Bildschirminhalt auf, insbesondere wenn sensible Apps geöffnet sind. Dies ist eine effektive Methode, um angezeigte Seed-Phrases oder andere vertrauliche Informationen zu erfassen.
Der Verlust einer Seed-Phrase führt in der Regel zum vollständigen und unumkehrbaren Verlust aller in der entsprechenden Krypto-Wallet gespeicherten Vermögenswerte.
Was ist eine Seed-Phrase?
Eine Seed-Phrase (auch Wiederherstellungsphrase genannt) ist eine Liste von 12 bis 24 Wörtern, die als Generalschlüssel für eine Krypto-Wallet dient. Mit dieser Phrase kann der Zugriff auf die Wallet auf jedem beliebigen Gerät wiederhergestellt werden. Wer die Seed-Phrase besitzt, hat die volle Kontrolle über die zugehörigen Kryptowährungen.
Reaktionen von Unity und Google
Unity Technologies, das Unternehmen hinter der Engine, hat bereits Maßnahmen ergriffen, agiert jedoch bislang im Stillen. Laut internen Quellen verteilt das Unternehmen bereits Korrekturen (Patches) und ein separates Reparaturwerkzeug an ausgewählte Partner und Entwicklerstudios. Eine offizielle öffentliche Anleitung wird in Kürze erwartet.
Google hat die Existenz der Schwachstelle gegenüber der Presse bestätigt. Ein Sprecher des Unternehmens erklärte die Situation.
„Unity stellt App-Entwicklern einen Patch zur Verfügung, um dieses Problem zu beheben, und Entwickler sollten ihre Apps sofort aktualisieren. Google Play wird Entwickler dabei unterstützen, gepatchte Versionen ihrer Apps so schnell wie möglich zu veröffentlichen.“
Eine wichtige Information von Google ist, dass nach aktuellem Stand keine bösartigen Apps, die diese Schwachstelle ausnutzen, im Google Play Store gefunden wurden. Dies deutet darauf hin, dass die größte Gefahr von modifizierten Apps außerhalb des offiziellen Stores ausgeht.
Wie sich Nutzer jetzt schützen können
Bis alle Spieleentwickler ihre Anwendungen aktualisiert haben, können Nutzer selbst mehrere Schritte unternehmen, um ihr Risiko zu minimieren. Sicherheitsexperten empfehlen eine Kombination aus Software-Hygiene und Verhaltensanpassungen.
Wichtige Schutzmaßnahmen
- Spiele-Updates sofort installieren: Achten Sie in den kommenden Tagen und Wochen verstärkt auf Updates für Ihre installierten Spiele im Google Play Store. Installieren Sie diese umgehend, da sie wahrscheinlich die notwendigen Sicherheitspatches enthalten.
- Sideloading unbedingt vermeiden: Laden Sie Apps und Spiele ausschließlich aus vertrauenswürdigen Quellen wie dem offiziellen Google Play Store herunter. Verzichten Sie auf die Installation von APK-Dateien von Webseiten oder aus alternativen App-Stores. Diese Apps werden nicht von Google geprüft und erhalten keine automatischen Sicherheitsupdates.
- Geräteberechtigungen prüfen: Überprüfen Sie regelmäßig, welche Apps auf Ihrem Gerät besondere Berechtigungen haben. Deaktivieren Sie unnötige Berechtigungen für „Über anderen Apps einblenden“ (Overlays) oder für Bedienungshilfen, insbesondere für Spiele.
- Risikotrennung praktizieren: Die sicherste Methode ist die physische oder digitale Trennung Ihrer Aktivitäten. Installieren und nutzen Sie Krypto-Wallets oder andere sensible Finanz-Apps idealerweise auf einem separaten Gerät, das nicht zum Spielen verwendet wird. Wenn dies nicht möglich ist, verwenden Sie zumindest unterschiedliche Benutzerkonten.
Diese proaktiven Maßnahmen können das Risiko eines Daten- oder Vermögensdiebstahls erheblich reduzieren, während die Entwicklergemeinschaft daran arbeitet, die von Unity bereitgestellten Sicherheitsupdates zu implementieren.
