Kelemahan keselamatan kritikal dalam runtime Unity telah mendedahkan berjuta-juta permainan mudah alih kepada serangan pelaksanaan kod yang berpotensi, menjejaskan tajuk popular seperti Among Us dan Pokémon GO . Kelemahan ini, yang ditetapkan sebagai CVE-2025-59489 , telah mencetuskan perbincangan sengit mengenai keselamatan enjin permainan dan kesan sebenar kelemahan tersebut.
Pepijat ini ditemui oleh penyelidik keselamatan Ryotak semasa Meta Bug Bounty Researcher Conference 2025 . Unity sejak itu telah mengeluarkan tampung untuk versi 2019.1 dan kemudian, menggesa pembangun untuk menyusun semula dan menerbitkan semula aplikasi mereka dengan segera.
Garis Masa Kelemahan:
- Penemuan: Mei 2025 di Persidangan Penyelidik Bug Bounty Meta
- Versi Terjejas: Unity 2017.1 dan versi terkemudian
- Tampung Tersedia: Unity 2019.1 dan versi terkemudian
- ID CVE: CVE-2025-59489
Aplikasi Android Menghadapi Risiko Terbesar
Kelemahan ini terutamanya memberi kesan kepada aplikasi Android yang dibina dengan Unity . Kelemahan terletak pada sistem pengendalian intent Unity , yang direka untuk membantu pembangun menyahpepijat aplikasi mereka. Mana-mana aplikasi berniat jahat yang dipasang pada peranti yang sama boleh mengeksploitasi kelemahan ini dengan menghantar intent yang dibuat khas kepada aplikasi Unity .
Perbincangan komuniti mendedahkan bahawa walaupun tajuk berita kedengaran membimbangkan, ancaman sebenar berbeza dengan ketara mengikut platform. Pada Android , kelemahan membenarkan pelaksanaan kod tulen melalui kebenaran aplikasi. Walau bagaimanapun, pada platform desktop seperti Windows dan macOS , kesannya lebih terhad kepada senario peningkatan keistimewaan.
Nota: Intent adalah sistem pemesejan Android yang membenarkan aplikasi berkomunikasi antara satu sama lain.
Platform Terjejas dan Impak:
- Android: Pelaksanaan kod sewenang-wenangnya secara penuh dengan kebenaran aplikasi
- Windows: Peningkatan keistimewaan, pelaksanaan kod terhad melalui pengendali skema URL
- macOS: Peningkatan keistimewaan dalam konteks pengguna melalui kebenaran aplikasi yang ditandatangani
- Linux: Impak minimum, kebanyakannya senario setuid secara teori
Platform Windows dan Desktop Menunjukkan Kesan Bercampur
Untuk pengguna Windows , implikasi keselamatan kurang jelas. Ahli komuniti menyatakan bahawa Windows sudah mempunyai vektor serangan sedia ada yang mungkin lebih mudah dieksploitasi daripada kelemahan Unity ini. Kaedah tradisional seperti pembajakan DLL telah lama digunakan oleh penyerang dan pengubahsuai yang sah untuk menyuntik kod ke dalam permainan.
Menarik bahawa Windows terjejas, tetapi pada Windows anda boleh menjatuhkan dx9 dll atau sameNameAsExecutable.dll untuk 'menyuntik' kod. Biasanya digunakan oleh pengubahsuai untuk Unity dan permainan lain.
Perbincangan menyerlahkan bahawa Microsoft telah berusaha untuk menangani kebimbangan keselamatan yang lebih luas ini. Windows 11 versi 24H2 memperkenalkan keupayaan sandboxing baharu untuk aplikasi Win32 , serupa dengan cara aplikasi Universal Windows Platform berfungsi.
Eksploitasi Jauh Kekal Terhad
Walaupun kelemahan secara teorinya membenarkan serangan jauh melalui pelayar web, beberapa faktor menjadikan senario ini tidak mungkin dalam praktik. Dasar keselamatan SELinux Android menghalang kebanyakan percubaan eksploitasi jauh dengan menyekat akses kepada fail yang dimuat turun. Untuk serangan jauh yang berjaya, aplikasi sasaran memerlukan konfigurasi khusus dan keupayaan untuk menulis kandungan yang dikawal penyerang ke storan peribadinya.
Konsensus komuniti mencadangkan bahawa walaupun kelemahan adalah nyata, eksploitasi praktikal memerlukan sama ada akses peranti fizikal atau keadaan yang sangat khusus yang mengehadkan kesannya di dunia sebenar.
Keperluan Eksploitasi Jauh:
- Aplikasi mesti mengeksport UnityPlayerActivity atau UnityPlayerGameActivity dengan android.intent.category.BROWSABLE
- Aplikasi mesti menulis kandungan yang dikawal penyerang ke storan peribadi
- Mesti memintas sekatan Android SELinux terhadap akses fail
Keselamatan Enjin Permainan Di Bawah Penelitian
Penemuan ini telah mencetuskan semula perdebatan mengenai amalan keselamatan dalam pembangunan permainan. Sesetengah ahli komuniti berhujah bahawa perisian permainan sering mengutamakan kelajuan ke pasaran berbanding pertimbangan keselamatan, terutamanya untuk alat pembangunan dan penyahpepijatan.
Walau bagaimanapun, yang lain mempertahankan industri, menyatakan bahawa aplikasi Unity mendapat manfaat daripada ciri keselamatan memori C# dan kelemahan keselamatan boleh menjejaskan mana-mana rangka kerja perisian. Perbincangan juga menyentuh enjin alternatif seperti Godot , dengan penyokong menyebut pembangunan sumber terbuka sebagai berpotensi lebih selamat kerana peningkatan keterlihatan kod.
 |
|---|
| Logo yang mewakili pemain utama dalam industri permainan, menonjolkan perbincangan mengenai amalan keselamatan dalam pembangunan permainan |
Respons Pembangun dan Mitigasi
Unity telah menangani isu ini dengan segera, mengeluarkan tampung dan nasihat keselamatan terperinci. Respons syarikat menunjukkan kepentingan amalan pendedahan yang bertanggungjawab dalam komuniti keselamatan. Untuk pembangun yang menggunakan versi Unity yang terjejas, penyelesaiannya mudah tetapi memerlukan tindakan: muat turun enjin yang dikemas kini, susun semula aplikasi, dan terbitkan semula ke kedai aplikasi.
Kelemahan ini berfungsi sebagai peringatan bahawa kelemahan keselamatan boleh wujud dalam rangka kerja pembangunan yang digunakan secara meluas, berpotensi menjejaskan beribu-ribu aplikasi secara serentak. Memandangkan permainan mudah alih terus berkembang, penemuan sedemikian menyerlahkan keperluan untuk kewaspadaan keselamatan berterusan di seluruh ekosistem pembangunan.
Rujukan: CVE-2025-59489: Arbitrary Code Execution in Unity Runtime