Theo
Cointelegraph, Unity – công cụ phát triển game phổ biến – đang tồn tại một lỗ hổng bảo mật nghiêm trọng. Lỗ hổng này có thể bị tin tặc lợi dụng để tấn công, gây ra hậu quả như mất tiền hoặc đánh cắp dữ liệu cá nhân của người dùng Android.
Nguồn tin cho biết, lỗ hổng cho phép mã độc bên thứ ba ký sinh và chạy trong các tựa game Android được phát triển bằng Unity. Phương thức tấn công tương tự như “tiêm mã trong tiến trình” (in-process code injection). Hiện vẫn chưa rõ liệu kẻ tấn công có thể hoàn toàn chiếm quyền điều khiển thiết bị hay không, nhưng trong một số điều kiện nhất định, lỗ hổng có thể bị khai thác để nâng cấp thành xâm nhập ở cấp độ hệ thống.
Ngay cả khi không chiếm quyền toàn bộ thiết bị, tin tặc vẫn có thể lợi dụng lỗ hổng này để:
- Chèn đè giao diện ứng dụng,
- Nghe lén thao tác bàn phím,
- Âm thầm chụp ảnh màn hình,
- Đánh cắp dữ liệu cá nhân hoặc câu thần chú ví tiền điện tử (seed phrase).
Nguồn tin cũng tiết lộ lỗ hổng này có thể truy nguyên từ năm 2017, ảnh hưởng chủ yếu đến nền tảng Android, nhưng Windows, Linux và macOS cũng chịu tác động ở các mức độ khác nhau. Hiện Unity đã bắt đầu âm thầm gửi giải pháp vá lỗi và bản patch riêng lẻ cho một số đối tác, dự kiến đầu tuần tới (thứ Hai hoặc thứ Ba) mới công khai hướng dẫn khắc phục. Tuy nhiên, phía Unity vẫn chưa đưa ra phản hồi chính thức.
Phát ngôn viên của Google cho biết họ đã nắm được tình hình và xác nhận Unity đang phát hành bản vá cho các nhà phát triển. Google Play cũng sẽ hỗ trợ nhà phát triển nhanh chóng cập nhật ứng dụng. Theo kết quả kiểm tra ban đầu, hiện chưa phát hiện ứng dụng độc hại nào trên Play Store lợi dụng lỗ hổng này.
Các chuyên gia khuyến cáo game thủ di động:
- Ngay khi có bản vá chính thức, cần cập nhật toàn bộ game sử dụng Unity,
- Tuyệt đối không tải ứng dụng từ nguồn không chính thức,
- Tránh tải file APK từ website lạ,
- Kiểm tra lại quyền truy cập trên điện thoại,
- Hạn chế bật cửa sổ nổi (overlay) hay tính năng trợ năng cho game.