Gry furtką do naszych telefonów i komputerów. Koszmarna usterka
Luka oznaczona jako CVE-2025-59489 dotyka wszystkich gier stworzonych w Unity od 2017 r., a więc milionów tytułów działających na Androidzie, Windows, macOS i Linuksie.
Problem został po raz pierwszy odkryty przez RyotaK z firmy GMO Flatt Security Inc. już w czerwcu, jednak Unity oficjalnie poinformowało o nim dopiero teraz. CVSS przyznało tej luce ocenę 8.4 na 10, co klasyfikuje ją jako zagrożenie wysokiej wagi. Firma Unity szacuje, że aż 70 proc. najlepszych gier mobilnych korzysta z ich silnika, co oznacza, że skala potencjalnego problemu jest gigantyczna.
Najgorsze w tej sytuacji jest to, że luka typu Untrusted Search Path (niezaufana ścieżka wyszukiwania) mogła być wykorzystywana przez cały okres od 2017 r. Unity zapewnia wprawdzie, że nie ma dowodów na wykorzystanie tej luki ani wpływu na użytkowników czy klientów, ale fakt pozostaje faktem - przez osiem lat miliony graczy mogły być nieświadomie narażone na cyberataki.
Nie zapomnij też o tym:
Jak działa ta diaboliczna luka
Mechanizm działania CVE-2025-59489 jest stosunkowo prosty, ale równocześnie wyjątkowo niebezpieczny. Złośliwa aplikacja zainstalowana na tym samym urządzeniu może zmuszać aplikacje Unity do załadowania szkodliwych bibliotek kodu. W praktyce oznacza to, że haker potrzebuje jedynie zainstalować na naszym telefonie czy komputerze pozornie niewinną aplikację, która następnie może wykorzystać dowolną grę stworzoną w Unity do wykonania złośliwego kodu.
Szczególnie groźna jest sytuacja na Androidzie, gdzie Unity automatycznie akceptuje argumenty wiersza poleceń poprzez system Android Intent. Złośliwe aplikacje mogą wstrzyknąć argument -xrsdk-pre-init-library, zmuszając aplikacje Unity do załadowania kontrolowanych przez napastników natywnych bibliotek. Po załadowaniu taki złośliwy kod działa z tymi samymi uprawnieniami co zaatakowana gra - może więc uzyskać dostęp do aparatu, lokalizacji, kontaktów czy innych wrażliwych danych.
Unity jest drugim najpopularniejszym silnikiem do tworzenia gier na świecie, a jego popularność szczególnie widać w segmencie gier mobilnych i niezależnych produkcji. Luka dotyka wszystkich wersji Unity od 2017.1 wzwyż, czyli praktycznie każdej współczesnej gry stworzonej w tym silniku. Mowa o tysiącach tytułów, od niezależnych perełek po wielkie hity jak Among Us czy Marvel Snap.
Reakcje deweloperów były natychmiastowe. Niektórzy twórcy- jak studio Obsidian- zdecydowali się tymczasowo wycofać swoje gry ze sprzedaży cyfrowej, w tym Grounded 2, Avowed i Pentiment. Wielkie hity jak Marvel Snap już wydały łatki bezpieczeństwa, ale skala aktualizacji potrzebnych w całej branży jest bez precedensu.
Platforma kontra deweloperzy. Co to oznacza dla nas, graczy?
Unity nie zostawił społeczności deweloperów samej sobie. Firma przygotowała łatki dla wszystkich wersji od 2019.1 wzwyż i dodatkowo stworzyła specjalne narzędzie Binary Patch dla deweloperów, którzy nie mogą przebudować swoich aplikacji. Samo zaktualizowanie Unity Editor nie rozwiązuje problemu - każda gra musi zostać przebudowana i wydana ponownie.
Partnerzy platformowi także szybko zareagowali. Microsoft Defender został zaktualizowany i będzie wykrywać oraz blokować próby wykorzystania luki. Valve wprowadziło dodatkowe zabezpieczenia w kliencie Steam, które blokują uruchomienie gry gdy zostanie wykryta próba włamania. Podobne kroki podjęły także Google i Meta.
Dla zwykłych użytkowników sytuacja jest stosunkowo prosta - należy jak najszybciej zaktualizować wszystkie gry stworzone w Unity. Szczególnie ostrożni powinni być posiadacze urządzeń z Androidem, gdzie mechanizm Intent może być łatwiej wykorzystany przez złośliwe aplikacje. Warto też unikać instalowania podejrzanych aplikacji z nieznanych źródeł, choć to zalecenie pozostaje uniwersalne niezależnie od tej konkretnej luki.
Pozytywną stroną tej historii jest szybka reakcja wszystkich zaangażowanych stron. Unity wydało łatki, partnerzy platformowi wdrożyli zabezpieczenia, a deweloperzy masowo aktualizują swoje gry. To pokazuje, że branża gier nauczyła się reagować na zagrożenia bezpieczeństwa znacznie sprawniej niż w przeszłości.
