ช่องโหว่ด้านความปลอดภัยที่ร้ายแรงใน runtime ของ Unity ได้เปิดโปงเกมมือถือหลายล้านเกมให้เสี่ยงต่อการโจมตีแบบ code execution รวมถึงเกมยอดนิยมอย่าง Among Us และ Pokémon GO ช่องโหว่นี้ซึ่งได้รับการกำหนดรหัสว่า CVE-2025-59489 ได้จุดประกายการอภิปรายอย่างเข้มข้นเกี่ยวกับความปลอดภัยของ game engine และผลกระทบในโลกแห่งความเป็นจริงของช่องโหว่เหล่านี้
ข้อบกพร่องนี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Ryotak ในระหว่างงาน Meta Bug Bounty Researcher Conference 2025 ทาง Unity ได้ปล่อย patch สำหรับเวอร์ชัน 2019.1 และใหม่กว่าแล้ว โดยเรียกร้องให้นักพัฒนา recompile และ republish แอปพลิเคชันของตนทันที
ไทม์ไลน์ช่องโหว่:
- การค้นพบ: พฤษภาคม 2025 ที่งานประชุม Meta Bug Bounty Researcher Conference
- เวอร์ชันที่ได้รับผลกระทบ: Unity 2017.1 และเวอร์ชันที่ใหม่กว่า
- แพตช์ที่มีให้: Unity 2019.1 และเวอร์ชันที่ใหม่กว่า
- CVE ID: CVE-2025-59489
แอป Android เผชิญความเสี่ยงสูงสุด
ช่องโหว่นี้ส่งผลกระทบหลักต่อแอปพลิเคชัน Android ที่สร้างด้วย Unity ข้อบกพร่องอยู่ในระบบ intent handling ของ Unity ซึ่งถูกออกแบบมาเพื่อช่วยนักพัฒนาในการ debug แอปพลิเคชันของตน แอปที่เป็นอันตรายใดๆ ที่ติดตั้งในอุปกรณ์เดียวกันสามารถใช้ประโยชน์จากจุดอ่อนนี้ได้โดยการส่ง intent ที่สร้างขึ้นเป็นพิเศษไปยังแอปพลิเคชัน Unity
การอภิปรายในชุมชนเผยให้เห็นว่าแม้หัวข่าวจะฟังดูน่าตกใจ แต่ภัยคุกคามที่แท้จริงแตกต่างกันอย่างมากตามแพลตฟอร์ม บน Android ช่องโหว่นี้อนุญาตให้มีการ code execution ที่แท้จริงผ่านสิทธิ์ของแอปพลิเคชัน อย่างไรก็ตาม บนแพลตฟอร์ม desktop เช่น Windows และ macOS ผลกระทบจะจำกัดอยู่ในสถานการณ์ privilege escalation มากกว่า
หมายเหตุ: Intent คือระบบการส่งข้อความของ Android ที่อนุญาตให้แอปสื่อสารกันได้
แพลตฟอร์มที่ได้รับผลกระทบและผลกระทบ:
- Android: การดำเนินโค้ดตามอำเภอใจแบบเต็มรูปแบบพร้อมสิทธิ์ของแอปพลิเคชัน
- Windows: การยกระดับสิทธิ์ การดำเนินโค้ดแบบจำกัดผ่านตัวจัดการ URL scheme
- macOS: การยกระดับสิทธิ์ภายในบริบทผู้ใช้ผ่านสิทธิ์ของแอปที่ลงนามแล้ว
- Linux: ผลกระทบน้อยที่สุด ส่วนใหญ่เป็นสถานการณ์ setuid ในทางทฤษฎี
Windows และแพลตฟอร์ม Desktop แสดงผลกระทบแบบผสม
สำหรับผู้ใช้ Windows ผลกระทบด้านความปลอดภัยไม่ชัดเจน สมาชิกชุมชนชี้ให้เห็นว่า Windows มี attack vector ที่มีอยู่แล้วซึ่งอาจง่ายกว่าการใช้ประโยชน์จากช่องโหว่ Unity นี้ วิธีการแบบดั้งเดิมเช่น DLL hijacking ถูกใช้มานานแล้วโดยทั้งผู้โจมตีและ modder ที่ถูกกฎหมายในการ inject code เข้าไปในเกม
น่าสนใจที่ Windows ได้รับผลกระทบ แต่บน Windows คุณสามารถวาง dx9 dll หรือ sameNameAsExecutable.dll เพื่อ 'inject' code ได้ ซึ่งใช้กันทั่วไปโดย modder สำหรับ Unity และเกมอื่นๆ
การอภิปรายเน้นย้ำว่า Microsoft กำลังทำงานเพื่อแก้ไขปัญหาความปลอดภัยที่กว้างขึ้นเหล่านี้ Windows 11 เวอร์ชัน 24H2 ได้แนะนำความสามารถ sandboxing ใหม่สำหรับแอปพลิเคชัน Win32 คล้ายกับวิธีการทำงานของแอป Universal Windows Platform
การใช้ประโยชน์จากระยะไกลยังคงจำกัด
แม้ว่าช่องโหว่นี้จะอนุญาตให้มีการโจมตีจากระยะไกลผ่าน web browser ในทางทฤษฎี แต่ปัจจัยหลายประการทำให้สถานการณ์นี้ไม่น่าจะเกิดขึ้นในทางปฏิบัติ นโยบายความปลอดภัย SELinux ของ Android ป้องกันความพยายามในการใช้ประโยชน์จากระยะไกลส่วนใหญ่โดยการบล็อกการเข้าถึงไฟล์ที่ดาวน์โหลด สำหรับการโจมตีจากระยะไกลที่ประสบความสำเร็จ แอปพลิเคชันเป้าหมายจะต้องมีการกำหนดค่าเฉพาะและความสามารถในการเขียนเนื้อหาที่ผู้โจมตีควบคุมไปยัง private storage ของมัน
ความเห็นพ้องต้องกันในชุมชนแสดงให้เห็นว่าแม้ช่องโหว่จะเป็นจริง แต่การใช้ประโยชน์ในทางปฏิบัติต้องการการเข้าถึงอุปกรณ์ทางกายภาพหรือสถานการณ์เฉพาะมากที่จำกัดผลกระทบในโลกแห่งความเป็นจริง
ข้อกำหนดสำหรับการโจมตีระยะไกล:
- แอปพลิเคชันต้องส่งออก UnityPlayerActivity หรือ UnityPlayerGameActivity พร้อมกับ android.intent.category.BROWSABLE
- แอปพลิเคชันต้องเขียนเนื้อหาที่ผู้โจมตีควบคุมได้ลงในพื้นที่จัดเก็บข้อมูลส่วนตัว
- ต้องหลีกเลี่ยงข้อจำกัดของ Android SELinux ในการเข้าถึงไฟล์
ความปลอดภัยของ Game Engine อยู่ภายใต้การตรวจสอบ
การค้นพบนี้ได้จุดประกายการถกเถียงเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยในการพัฒนาเกมอีกครั้ง สมาชิกชุมชนบางคนโต้แย้งว่าซอฟต์แวร์เกมมักให้ความสำคัญกับความเร็วในการออกสู่ตลาดมากกว่าการพิจารณาด้านความปลอดภัย โดยเฉพาะสำหรับเครื่องมือการพัฒนาและการ debug
อย่างไรก็ตาม คนอื่นๆ ปกป้องอุตสาหกรรมนี้ โดยสังเกตว่าแอปพลิเคชัน Unity ได้รับประโยชน์จากคุณสมบัติ memory safety ของ C# และช่องโหว่ด้านความปลอดภัยสามารถส่งผลกระทบต่อ software framework ใดๆ ได้ การอภิปรายยังสัมผัสถึง engine ทางเลือกเช่น Godot โดยผู้สนับสนุนอ้างถึงการพัฒนา open-source ว่าอาจปลอดภัยกว่าเนื่องจากการมองเห็น code ที่เพิ่มขึ้น
 |
|---|
| โลโก้ที่แทนผู้เล่นหลักในอุตสาหกรรมเกม เน้นการสนทนาเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยในการพัฒนาเกม |
การตอบสนองของนักพัฒนาและการบรรเทา
Unity ได้แก้ไขปัญหาอย่างรวดเร็ว โดยปล่อย patch และคำแนะนำด้านความปลอดภัยที่มีรายละเอียด การตอบสนองของบริษัทแสดงให้เห็นถึงความสำคัญของแนวทางปฏิบัติ responsible disclosure ในชุมชนความปลอดภัย สำหรับนักพัฒนาที่ใช้ Unity เวอร์ชันที่ได้รับผลกระทบ วิธีแก้ไขนั้นตรงไปตรงมาแต่ต้องการการดำเนินการ: ดาวน์โหลด engine ที่อัปเดตแล้ว recompile แอปพลิเคชัน และ republish ไปยัง app store
ช่องโหว่นี้เป็นเครื่องเตือนใจว่าช่องโหว่ด้านความปลอดภัยสามารถมีอยู่ใน development framework ที่ใช้กันอย่างแพร่หลาย ซึ่งอาจส่งผลกระทบต่อแอปพลิเคชันหลายพันตัวพร้อมกัน เมื่อ mobile gaming ยังคงเติบโต การค้นพบเช่นนี้เน้นย้ำถึงความจำเป็นในการเฝ้าระวังด้านความปลอดภัยอย่างต่อเนื่องทั่วทั้งระบบนิเวศการพัฒนา
อ้างอิง: CVE-2025-59489: Arbitrary Code Execution in Unity Runtime