Cientos de millones de PC vulnerables a ataques debido a la falla del complemento de juego de Unity

unidad-vulnerable

Al menos 200 millones de computadoras han estado expuestas a posibles ataques en medio del descubrimiento de una falla en el complemento de Unity utilizado para juegos.

La falla del complemento fue encontrada por un investigador con sede en Finlandia y, en consecuencia, permite a los delincuentes eliminar los datos confidenciales de un usuario mientras está conectado a un sitio web, incluido el correo electrónico como Gmail y Yahoo Mail, y cuentas de redes sociales. como Facebook y Twitter.

unidad-vulnerable

He aquí por qué el impacto de esta vulnerabilidad debe tomarse en serio. Una gran cantidad de desarrolladores, algunos cientos de miles de ellos, confían en el complemento de Unity para crear juegos en línea, lo que significa que existe una gran posibilidad de que la mayoría de los juegos a los que te ha gustado jugar usen este tipo de complemento. en. Esta herramienta de juego se instala en los navegadores para que pueda acceder a las aplicaciones y juegos basados ​​en la Web.

Los desarrolladores también pueden desarrollar contenido tridimensional que sea compatible con varios dispositivos móviles y plataformas informáticas, navegadores y consolas de juegos. Entonces, esta vulnerabilidad no solo afecta a las PC sino también a otras plataformas.

De hecho, hay más de 700.000 desarrolladores activos mensuales que utilizan el complemento para desarrollar juegos para más de 600 millones de usuarios en todo el mundo. Esas cifras son suficientes para activar la alarma sobre esta vulnerabilidad.

El complemento implementa una política de dominio cruzado que permite el acceso a otros sitios web para un usuario activo. Está diseñado para impedir que una aplicación de Unity obtenga acceso a herramientas de otros sitios web. Recientemente, el investigador finlandés encontró una manera de superar esta política, una vulnerabilidad que permite que aplicaciones maliciosas otorguen acceso a sitios web de terceros sin el conocimiento del usuario.

Por ejemplo, se puede acceder a su cuenta de Gmail si está en una sesión activa con el servicio de correo electrónico y sus datos se transmitirán furtivamente a miradas indiscretas de terceros. Lo mismo puede suceder con su cuenta de Facebook, por ejemplo, si tiene Unity Web Player instalado en su sistema.

Algunos navegadores pueden evitar que el complemento se inicie automáticamente sin permiso. Otros podrían permitirlo. Por suerte para los usuarios de la versión 42 de Chrome, el ataque no funciona. Los navegadores vulnerables parecen estar afectados por el uso de la antigua interfaz de programación de aplicaciones del complemento de Netscape, que podría permitir que el complemento se ejecute automáticamente.

Hasta que los hallazgos se hicieron públicos, Unity no había prestado atención a la solicitud del investigador de corregir la falla. Se está trabajando en una solución, según Unity.

0 Shares