Một lỗ hổng bảo mật nghiêm trọng trong runtime của Unity đã khiến hàng triệu game mobile có nguy cơ bị tấn công thực thi mã độc, ảnh hưởng đến các tựa game nổi tiếng như Among Us và Pokémon GO. Lỗ hổng này, được mã hóa CVE-2025-59489, đã khơi mào cuộc thảo luận sôi nổi về bảo mật game engine và tác động thực tế của những lỗ hổng như vậy.
Lỗi này được phát hiện bởi nhà nghiên cứu bảo mật Ryotak trong Meta Bug Bounty Researcher Conference 2025. Unity đã phát hành các bản vá cho các phiên bản từ 2019.1 trở lên, kêu gọi các nhà phát triển biên dịch lại và phát hành lại ứng dụng của họ ngay lập tức.
Dòng thời gian lỗ hổng bảo mật:
- Phát hiện: Tháng 5 năm 2025 tại Hội nghị Nghiên cứu viên Bug Bounty Meta
- Phiên bản bị ảnh hưởng: Unity 2017.1 và các phiên bản sau
- Bản vá có sẵn: Unity 2019.1 và các phiên bản sau
- Mã CVE: CVE-2025-59489
Ứng dụng Android đối mặt với rủi ro lớn nhất
Lỗ hổng chủ yếu ảnh hưởng đến các ứng dụng Android được xây dựng bằng Unity. Lỗ hổng nằm trong hệ thống xử lý intent của Unity, được thiết kế để giúp các nhà phát triển debug ứng dụng của họ. Bất kỳ ứng dụng độc hại nào được cài đặt trên cùng thiết bị đều có thể khai thác điểm yếu này bằng cách gửi các intent được chế tạo đặc biệt đến các ứng dụng Unity.
Cuộc thảo luận trong cộng đồng cho thấy rằng mặc dù tiêu đề nghe có vẻ đáng báo động, nhưng mối đe dọa thực tế thay đổi đáng kể tùy theo nền tảng. Trên Android, lỗ hổng cho phép thực thi mã thực sự thông qua quyền của ứng dụng. Tuy nhiên, trên các nền tảng desktop như Windows và macOS, tác động bị hạn chế hơn trong các kịch bản leo thang đặc quyền.
Lưu ý: Intent là hệ thống nhắn tin của Android cho phép các ứng dụng giao tiếp với nhau.
Các Nền Tảng Bị Ảnh Hưởng và Tác Động:
- Android: Thực thi mã tùy ý hoàn toàn với quyền của ứng dụng
- Windows: Leo thang đặc quyền, thực thi mã hạn chế thông qua trình xử lý URL scheme
- macOS: Leo thang đặc quyền trong ngữ cảnh người dùng thông qua quyền ứng dụng đã ký
- Linux: Tác động tối thiểu, chủ yếu là các kịch bản setuid mang tính lý thuyết
Windows và các nền tảng Desktop cho thấy tác động hỗn hợp
Đối với người dùng Windows, các tác động bảo mật không rõ ràng. Các thành viên cộng đồng chỉ ra rằng Windows đã có các vector tấn công hiện có có thể dễ khai thác hơn so với lỗ hổng Unity này. Các phương pháp truyền thống như DLL hijacking từ lâu đã được sử dụng bởi cả kẻ tấn công và các modder hợp pháp để inject mã vào game.
Thú vị là Windows bị ảnh hưởng, nhưng trên Windows bạn có thể đơn giản thả một dx9 dll hoặc sameNameAsExecutable.dll để 'inject' mã. Thường được các modder sử dụng cho Unity và các game khác.
Cuộc thảo luận nhấn mạnh rằng Microsoft đã làm việc để giải quyết những mối quan ngại bảo mật rộng lớn hơn này. Windows 11 phiên bản 24H2 đã giới thiệu khả năng sandboxing mới cho các ứng dụng Win32, tương tự như cách hoạt động của các ứng dụng Universal Windows Platform.
Khai thác từ xa vẫn bị hạn chế
Mặc dù lỗ hổng về mặt lý thuyết cho phép tấn công từ xa thông qua trình duyệt web, nhưng một số yếu tố khiến kịch bản này không có khả năng xảy ra trong thực tế. Các chính sách bảo mật SELinux của Android ngăn chặn hầu hết các nỗ lực khai thác từ xa bằng cách chặn quyền truy cập vào các tệp đã tải xuống. Để có một cuộc tấn công từ xa thành công, ứng dụng mục tiêu cần có các cấu hình cụ thể và khả năng ghi nội dung do kẻ tấn công kiểm soát vào bộ nhớ riêng của nó.
Sự đồng thuận trong cộng đồng cho rằng mặc dù lỗ hổng là có thật, nhưng việc khai thác thực tế đòi hỏi quyền truy cập vật lý vào thiết bị hoặc các tình huống rất cụ thể làm hạn chế tác động thực tế của nó.
Yêu cầu khai thác từ xa:
- Ứng dụng phải xuất UnityPlayerActivity hoặc UnityPlayerGameActivity với android.intent.category.BROWSABLE
- Ứng dụng phải ghi nội dung do kẻ tấn công kiểm soát vào bộ nhớ riêng tư
- Phải vượt qua các hạn chế SELinux của Android đối với quyền truy cập tệp
Bảo mật Game Engine dưới sự giám sát
Phát hiện này đã khơi lại các cuộc tranh luận về thực hành bảo mật trong phát triển game. Một số thành viên cộng đồng cho rằng phần mềm game thường ưu tiên tốc độ ra thị trường hơn các cân nhắc bảo mật, đặc biệt là đối với các công cụ phát triển và debug.
Tuy nhiên, những người khác bảo vệ ngành công nghiệp, lưu ý rằng các ứng dụng Unity được hưởng lợi từ các tính năng an toàn bộ nhớ của C# và các lỗ hổng bảo mật có thể ảnh hưởng đến bất kỳ framework phần mềm nào. Cuộc thảo luận cũng đề cập đến các engine thay thế như Godot, với những người ủng hộ trích dẫn việc phát triển mã nguồn mở có khả năng an toàn hơn do tăng khả năng hiển thị mã.
 |
|---|
| Các logo đại diện cho những người chơi chính trong ngành công nghiệp game, làm nổi bật cuộc thảo luận xung quanh các thực hành bảo mật trong phát triển game |
Phản hồi của nhà phát triển và biện pháp giảm thiểu
Unity đã giải quyết vấn đề một cách kịp thời, phát hành các bản vá và các khuyến nghị bảo mật chi tiết. Phản hồi của công ty thể hiện tầm quan trọng của các thực hành tiết lộ có trách nhiệm trong cộng đồng bảo mật. Đối với các nhà phát triển sử dụng các phiên bản Unity bị ảnh hưởng, giải pháp rất đơn giản nhưng đòi hỏi hành động: tải xuống engine đã cập nhật, biên dịch lại ứng dụng và phát hành lại chúng lên các cửa hàng ứng dụng.
Lỗ hổng này nhắc nhở rằng các lỗ hổng bảo mật có thể tồn tại trong các framework phát triển được sử dụng rộng rãi, có khả năng ảnh hưởng đến hàng nghìn ứng dụng cùng một lúc. Khi game mobile tiếp tục phát triển, những phát hiện như vậy nhấn mạnh nhu cầu về sự cảnh giác bảo mật liên tục trên toàn bộ hệ sinh thái phát triển.
Tham khảo: CVE-2025-59489: Arbitrary Code Execution in Unity Runtime