作者Y78 (Y78)
看板C_Chat
标题Re: [情报] 游戏引擎Unity爆重大安全漏洞
时间Sat Oct 4 18:06:27 2025
昨天刚好看到漏洞发现者 RyotaK 写的技术细节,简单讲一下
有技术背景的可以自己看:
https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/
在 Android 上,手机 app 可以透过发起一个叫 intent 的东西打开另一个 app
打开的时候可以传参数过去
而 Unity 在这部分没有处理好,导致会直接载入其他 app 传来的程式码
因此一个恶意 app 就可以透过这种方式,再利用 Unity 包出来的游戏执行程式码
这是第一种攻击方式
再强调一次
攻击前提是:你先装了一个恶意 app,再透过这个恶意 app 攻击 Unity 引擎
攻击成功之後,就看你原本游戏有什麽权限,就可以拿到什麽权限
但由於你要先装一个恶意 app
在你装恶意 app 的时候,它其实本来就可以做很多事了,不需要透过 Unity
透过 Unity 就只是可以偷到这个 app 的更多资料,或是拿到更多权限
例如说 app 通常只有自己能存取自己的东西
因此透过 Unity 这个漏洞,可以让其他 app 来把你东西偷走
第二种攻击方式是,有些 app 会可以利用 URL 去发这个 intent
就不需要先装恶意 app(这个不是预设的设置,需要开发者自己加上)
但由於 Android 本身的权限问题,会阻挡一些可疑位置的档案载入
所以还需要搭配 app 本身的机制,想办法让攻击者能够写一个档案
接着再载入这个档案才行
换句话说,假设一个游戏要有问题,它本身的机制必须能让攻击者去写入档案
原文给的案例是 Facebook Messenger 的快取可以被攻击者控制,利用它写档案
但游戏的话应该就是 case by case 了,要先找到能控制写档案的方法
才有办法写入恶意程式码,然後利用 URL 执行
总结一下,根据作者自己的技术细节,攻击要成立的前提是:
1. 你已经装了一个恶意 app
或是底下三个条件同时满足:
1. 游戏支援透过 URL 的方式打开
2. 攻击者可以透过游戏本身的机制,写一个档案并控制内容
3. 你点了一个恶意 URL,触发 Unity 漏洞
由於文章只有写到 Android 的,因此不太确定其他平台的细节
这漏洞之所以严重,是因为被触发之後就可以控制 Unity 打包出来的 app
但触发条件是否容易,就看大家怎麽想了
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.193.112.69 (日本)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/C_Chat/M.1759572390.A.698.html
1F:推 zseineo: 推 10/04 18:07
2F:→ peterturtle: 推 10/04 18:07
3F:推 WayThuz: 推 10/04 18:09
4F:推 nahsnib: 反正就是不要随便点连结,然後正常的游戏没事 10/04 18:09
5F:推 togs: 恶意APP通常从哪种管道被安装,或如何得知自己有没有装 10/04 18:10
6F:推 e5a1t20: 推 10/04 18:10
7F:→ togs: 推 10/04 18:10
8F:推 a205090a: 网路下载的apk 档 10/04 18:12
9F:推 cdsjquiz: 推 10/04 18:12
10F:→ a205090a: 非官方的都默认成恶意app就好 10/04 18:12
11F:推 aoke: 上一篇的Unity公告网页下面有写说IOS跟游戏机还没找出可能性 10/04 18:12
12F:→ aoke: 但是为了以防万一还是请更新这样 10/04 18:12
13F:推 ltytw: 家里长辈 很容易会被骗装不明APP阿 10/04 18:13
14F:推 illya65536: 推分享 10/04 18:13
15F:→ a205090a: 内文还有提到一件事 不确定unity能不能满足远端攻击的 10/04 18:14
16F:→ a205090a: 条件 如果不能的话 其实就是偷偷个资的事而已 10/04 18:14
17F:推 inte629l: 推 10/04 18:14
18F:推 XFarter: 但如果像是 Web-based 的 Unity Engine 的套件的话呢? 10/04 18:15
目前是还没看到 web 相关的平台有问题,web 原本就没办法绕过浏览器执行指令
19F:推 dk2486248: 前景服务 10/04 18:16
20F:推 togs: 感谢回应 10/04 18:16
21F:推 eva05s: 推个 10/04 18:17
22F:推 testwindraja: 与其说"恶意","任意"写来利用这漏洞的APP更准确 10/04 18:18
23F:推 iuytjhgf: 安卓你不搞Root的话要中招的算低 10/04 18:19
24F:→ iuytjhgf: 但Windows系统 就问在座有多少人是开administrator在用? 10/04 18:20
25F:推 SPDY: 利用Unity还是要看OS有什麽洞能钻或有给什麽权限 10/04 18:20
26F:推 XFarter: 我个人的粗浅理解是虽然研究者实践这个洞的方式是用 Andr 10/04 18:30
27F:→ XFarter: oid ,但这个洞的成因是 Unity 没有做启动参数的资料验证 10/04 18:30
28F:→ XFarter: 後就直接「执行」,所以这一修才不是只影响到 Android 平 10/04 18:30
29F:→ XFarter: 台而是大家都中 10/04 18:30
看起来是这样没错,我的理解也差不多
30F:推 rockmanalpha: 看起来就借Unity之手运行恶意程式码 但游戏有写入档 10/04 18:30
31F:推 fkukg52155: 感谢翻译 推 10/04 18:31
32F:→ rockmanalpha: 案的情况不多吧 10/04 18:31
33F:→ rockmanalpha: 应该说有给使用者写入档案的情况 10/04 18:31
※ 编辑: Y78 (61.193.112.69 日本), 10/04/2025 18:33:52
34F:推 Richun: 通常都会看OS给到多大权限,Windows通常最危,Android则是 10/04 18:35
35F:→ Richun: 有资料外泄的可能,iOS看有没有类intent的机制做直接通讯 10/04 18:36
36F:推 chualex66: ios的封闭机制就专防这种App伸出脏手的,没事才是预料 10/04 18:37
37F:→ chualex66: 之中 10/04 18:37
38F:→ XFarter: 我後来想了一想 除了盗版以外其实第三方套件、Mod 甚至翻 10/04 18:38
39F:→ XFarter: 译包都有可能可以利用这个洞== 10/04 18:38
准备个恶意档案倒是可以透过这些来准备,但是要把启动参数传进去的话
可能就要看个别 app 了?如果能传启动参数,代表本来就可以执行指令了
(在电脑上的话啦),可能就是做为一种提权的手段
40F:推 sai007788: 就看你信不信官方本身跟知名补丁网站了 10/04 18:40
41F:推 CrazyLord: 简单来说 只要你App不是从Goole/Apple商店载的都能预 10/04 18:42
42F:→ CrazyLord: 设是恶意 但不代表Google Play跟App Store里的就一定 10/04 18:42
43F:→ CrazyLord: 安全 10/04 18:42
44F:推 cpu885: 推 10/04 18:43
45F:推 as920909: 游戏只要有存档功能就会有档案读写权限 游戏主机的提权 10/04 18:44
46F:→ as920909: 漏洞有很大一部分是游戏有漏洞导致 10/04 18:44
47F:推 r24694648: 感谢内容,推 10/04 18:45
48F:→ tn1983: PC启动游戏装第三方MOD就有机会中 10/04 18:50
49F:推 g5637128: 推 10/04 18:51
50F:推 ShibaTatsuya: 推 10/04 18:53
51F:推 SunnyBrian: 推,看不懂但有点安心了 10/04 19:06
52F:推 rainxo6p: 前面觉得还好反正手机只拿来工作用而已 但看到23楼後有 10/04 19:07
53F:→ rainxo6p: 点怕了-.- 10/04 19:07
※ 编辑: Y78 (61.193.112.69 日本), 10/04/2025 19:12:58
54F:推 AmeNe43189: 推 10/04 19:11
55F:推 ChikuwaM: 推 10/04 19:27
56F:推 Nighty7222: URL触发就能启动喔。好凶 10/04 19:37
57F:推 WiLLSTW: 透过Url打开的游戏 有些手游会做转去外面储值之後自己帮 10/04 19:50
58F:→ WiLLSTW: 你连回游戏内的 10/04 19:50
59F:→ WiLLSTW: 还有就是安卓装app的时候真的要检查一下他到底要开哪些 10/04 19:51
60F:→ WiLLSTW: 权限 10/04 19:51
61F:推 hwider: 谢谢分享 10/04 20:09
62F:推 namirei: 推 10/04 20:12
63F:推 iam1vol: 推 10/04 20:15
64F:推 v86861062: 推推 10/04 20:26
65F:推 w9515: 推 谢分享 10/04 20:39
66F:推 a5480277: 请问 文章中提到的 Facebook Messenger相关资讯在哪啊? 10/04 20:45
67F:→ a5480277: 喔 看到了 原来是pdf 没事 10/04 20:46
是的就是那个,有点长就懒得看了:
https://reurl.cc/MzEp13
跟这个洞本身关系不大就是了,只是关於透过 app 控制档案写入的地方可以参考
※ 编辑: Y78 (61.193.112.69 日本), 10/04/2025 20:49:56
68F:推 iamstudent: 感谢知识分享 10/04 20:48
69F:推 a5480277: 我网路不知为何卡烂 看不到这个PDF 先发表我的简单看法 10/04 21:01
70F:→ a5480277: 文章中的示范指令都有明确代入package name 也就是说必 10/04 21:01
71F:→ a5480277: 需先知道想要启用的app的具体package name,才会受影响 10/04 21:02
72F:→ a5480277: 另外透过URL启动app的方式应该是指DeepLink 就像大家使 10/04 21:03
73F:→ a5480277: 用手机看网页时 点下去会跳出问你是否要由某某app开启 10/04 21:03
74F:→ a5480277: 这是因为那些app有宣告一个特定的pattern。当android发 10/04 21:04
75F:→ a5480277: 现你点的网址有这个pattern,就会问你是否要启动该APP 10/04 21:05
76F:→ a5480277: 但文章中有提到 他也是去读特定路径下的恶意档案 所以如 10/04 21:08
77F:→ a5480277: 果你手机里并没有该恶意档案 其实根本不用太担心 但考虑 10/04 21:08
78F:推 jackyT: 我昨天看到也一直在想什麽游戏会自订URI 实在想不到 10/04 21:14
79F:→ a5480277: 文章中说可以透过读cache的方式搞鬼 我就不知道是否能够 10/04 21:14
80F:→ a5480277: combo出其它行为来造成更大的破坏 10/04 21:15
81F:→ a5480277: 另外这看起来出问题时,你的app也会被打开弹出来 所以会 10/04 21:19
82F:→ a5480277: 比较容易被观测到 10/04 21:19
83F:→ a5480277: 目前看起来感觉有点像SQL injection的那种状况 就是那种 10/04 21:20
84F:→ a5480277: code没写好 使用者故意在帐密那边打特定字串来破解 10/04 21:21
85F:推 XFarter: 看起来跟 SQL 的结果很像 但成因不同吧 10/04 21:30
86F:推 avans: 推说明 10/04 22:31
87F:推 hanmas: 推 10/04 22:43
88F:推 whhw: 推 10/05 00:06
89F:→ Tsozuo: 所以改理解成 这个漏洞只是恶意程式的启动器这样 10/05 01:14
90F:推 justanerd: 推 10/05 01:29
91F:推 clou: 推 10/05 10:12
92F:推 nothink0: 推 10/05 10:48
93F:→ fmp1234: 长姿势 10/08 08:24