Minstens 200 miljoen computers zijn blootgesteld aan mogelijke aanvallen tijdens de ontdekking van een fout in de Unity-plug-in die voor gaming wordt gebruikt.
De fout in de plug-in werd gevonden door een in Finland gevestigde onderzoeker en stelt criminelen bijgevolg in staat om de gevoelige gegevens van een gebruiker te verwijderen terwijl ze zijn ingelogd op een website, inclusief e-mail zoals Gmail en Yahoo Mail, en e-mailaccounts op sociale netwerken. zoals Facebook en Twitter.
Dit is waarom de impact van dit beveiligingslek serieus moet worden genomen. Een groot aantal ontwikkelaars, zo’n honderdduizenden, vertrouwen op de Unity-plug-in om online games te maken, wat betekent dat de kans groot is dat de meeste games die je graag hebt gespeeld dit type aanvulling gebruiken. in. Deze gametool wordt in de browsers geïnstalleerd, zodat je toegang hebt tot de webgebaseerde applicaties en games.
Ontwikkelaars kunnen ook 3D-inhoud ontwikkelen die compatibel is met verschillende mobiele apparaten en computerplatforms, browsers en gameconsoles. Deze kwetsbaarheid treft dus niet alleen pc’s, maar ook andere platforms.
In feite zijn er meer dan 700.000 maandelijks actieve ontwikkelaars die de plug-in gebruiken om games te ontwikkelen voor meer dan 600 miljoen gebruikers wereldwijd. Die cijfers zijn voldoende om alarm te slaan over deze kwetsbaarheid.
De plug-in implementeert een domeinoverschrijdend beleid dat toegang tot andere websites mogelijk maakt voor een actieve gebruiker. Het is ontworpen om te voorkomen dat een Unity-toepassing toegang krijgt tot tools van andere websites. Onlangs heeft de Finse onderzoeker een manier gevonden om dit beleid te omzeilen, een kwetsbaarheid waarmee kwaadaardige applicaties toegang kunnen verlenen tot websites van derden zonder medeweten van de gebruiker.
Uw Gmail-account is bijvoorbeeld toegankelijk als u in een actieve sessie bent met de e-mailservice en uw gegevens worden heimelijk aan nieuwsgierige blikken van derden doorgegeven. Hetzelfde kan gebeuren met uw Facebook-account, bijvoorbeeld als u Unity Web Player op uw systeem hebt geïnstalleerd.
Sommige browsers kunnen voorkomen dat de plug-in automatisch start zonder toestemming. Anderen staan het misschien toe. Gelukkig voor gebruikers van Chrome versie 42 werkt de aanval niet. De kwetsbare browsers lijken te worden beïnvloed door het gebruik van de oude programmeerinterface van Netscape-plug-ins, waardoor de plug-in automatisch kan worden uitgevoerd.
Totdat de bevindingen openbaar werden gemaakt, had Unity geen gehoor gegeven aan het verzoek van de onderzoeker om de fout te herstellen. Volgens Unity is er een oplossing in de maak.
