據外媒《Cointelegraph》報導，Unity 引擎存在一項漏洞，可能允許第三方將惡意代碼注入手機遊戲，從而威脅用戶的加密貨幣錢包安全。

據悉，Unity 正在低調推出修復措施，針對 Android 手機遊戲中允許第三方代碼運行的漏洞，該漏洞可能瞄準移動端加密錢包。兩位匿名消息人士指出，這一漏洞最早可追溯至 2017 年，主要影響 Android 系統，但 Windows、macOS 和 Linux 也在不同程度上受影響。

消息人士表示，Unity 已經開始私下向部分合作伙伴分發修復工具與獨立補丁，但官方公開的安全指引最快要等到下週一或週二纔會發佈。

Google已知悉此漏洞

Google 發言人回應稱已知悉此漏洞：

• Unity 已經嚮應用開發者提供補丁以解決該問題，開發者應立即更新應用。
• Google Play 也將協助開發者儘快發佈已修復版本。目前根據我們的檢測，Google Play 上尚未發現利用該漏洞的惡意應用。

前一千款手機遊戲中有7成來自該引擎

Unity Technologies 總部位於舊金山，是全球領先的遊戲與應用開發平臺。根據官方數據，Unity 支撐了超過 70% 的前一千款手機遊戲，並且超過一半的新遊戲都基於 Unity 開發。

消息人士將該風險描述為進程內代碼注入，但尚未確認是否能完全接管設備。不過在特定條件下，該漏洞可能進一步升級為 Android 設備級別的全面入侵。

即使未能完全控制設備，惡意代碼仍可能通過疊加畫面、輸入攔截或螢幕截取等方式，竊取個人憑證或加密錢包的助記詞。

防範手法

• 儘快更新所有基於 Unity 的遊戲，隨着補丁推出立即安裝；
• 避免側載（sideloading）應用，即不要從非官方或第三方應用商店安裝遊戲，也不要隨意下載 APK 文件；
• 側載應用未經 Google Play 安全系統審核，黑客可能散佈被修改的遊戲版本來利用漏洞；此外，側載應用也無法自動接收 Unity 的安全更新；
• 檢查設備權限，停用不必要的疊加層或在遊戲時運行的輔助功能；
• 最佳做法是進行風險隔離，將加密錢包保存在與遊戲分離的設備或賬戶中。