据外媒《Cointelegraph》报导，Unity 引擎存在一项漏洞，可能允许第三方将恶意代码注入手机游戏，从而威胁用户的加密货币钱包安全。

据悉，Unity 正在低调推出修复措施，针对 Android 手机游戏中允许第三方代码运行的漏洞，该漏洞可能瞄准移动端加密钱包。两位匿名消息人士指出，这一漏洞最早可追溯至 2017 年，主要影响 Android 系统，但 Windows、macOS 和 Linux 也在不同程度上受影响。

消息人士表示，Unity 已经开始私下向部分合作伙伴分发修复工具与独立补丁，但官方公开的安全指引最快要等到下周一或周二才会发布。

Google已知悉此漏洞

Google 发言人回应称已知悉此漏洞：

• Unity 已经向应用开发者提供补丁以解决该问题，开发者应立即更新应用。
• Google Play 也将协助开发者尽快发布已修复版本。目前根据我们的检测，Google Play 上尚未发现利用该漏洞的恶意应用。

前一千款手机游戏中有7成来自该引擎

Unity Technologies 总部位于旧金山，是全球领先的游戏与应用开发平台。根据官方数据，Unity 支撑了超过 70% 的前一千款手机游戏，并且超过一半的新游戏都基于 Unity 开发。

消息人士将该风险描述为进程内代码注入，但尚未确认是否能完全接管设备。不过在特定条件下，该漏洞可能进一步升级为 Android 设备级别的全面入侵。

即使未能完全控制设备，恶意代码仍可能通过叠加画面、输入拦截或屏幕截取等方式，窃取个人凭证或加密钱包的助记词。

防范手法

• 尽快更新所有基于 Unity 的游戏，随着补丁推出立即安装；
• 避免侧载（sideloading）应用，即不要从非官方或第三方应用商店安装游戏，也不要随意下载 APK 文件；
• 侧载应用未经 Google Play 安全系统审核，黑客可能散布被修改的游戏版本来利用漏洞；此外，侧载应用也无法自动接收 Unity 的安全更新；
• 检查设备权限，停用不必要的叠加层或在游戏时运行的辅助功能；
• 最佳做法是进行风险隔离，将加密钱包保存在与游戏分离的设备或账户中。