推 zseineo: 推 10/04 18:07
→ peterturtle: 推 10/04 18:07
推 WayThuz: 推 10/04 18:09
推 nahsnib: 反正就是不要隨便點連結,然後正常的遊戲沒事 10/04 18:09
推 togs: 惡意APP通常從哪種管道被安裝,或如何得知自己有沒有裝 10/04 18:10
推 e5a1t20: 推 10/04 18:10
→ togs: 推 10/04 18:10
推 a205090a: 網路下載的apk 檔 10/04 18:12
推 cdsjquiz: 推 10/04 18:12
→ a205090a: 非官方的都默認成惡意app就好 10/04 18:12
推 aoke: 上一篇的Unity公告網頁下面有寫說IOS跟遊戲機還沒找出可能性 10/04 18:12
→ aoke: 但是為了以防萬一還是請更新這樣 10/04 18:12
推 ltytw: 家裡長輩 很容易會被騙裝不明APP阿 10/04 18:13
推 illya65536: 推分享 10/04 18:13
→ a205090a: 內文還有提到一件事 不確定unity能不能滿足遠端攻擊的 10/04 18:14
→ a205090a: 條件 如果不能的話 其實就是偷偷個資的事而已 10/04 18:14
推 inte629l: 推 10/04 18:14
推 XFarter: 但如果像是 Web-based 的 Unity Engine 的套件的話呢? 10/04 18:15
目前是還沒看到 web 相關的平台有問題,web 原本就沒辦法繞過瀏覽器執行指令
推 dk2486248: 前景服務 10/04 18:16
推 togs: 感謝回應 10/04 18:16
推 eva05s: 推個 10/04 18:17
推 testwindraja: 與其說"惡意","任意"寫來利用這漏洞的APP更準確 10/04 18:18
推 iuytjhgf: 安卓你不搞Root的話要中招的算低 10/04 18:19
→ iuytjhgf: 但Windows系統 就問在座有多少人是開administrator在用? 10/04 18:20
推 SPDY: 利用Unity還是要看OS有什麼洞能鑽或有給什麼權限 10/04 18:20
推 XFarter: 我個人的粗淺理解是雖然研究者實踐這個洞的方式是用 Andr 10/04 18:30
→ XFarter: oid ,但這個洞的成因是 Unity 沒有做啟動參數的資料驗證 10/04 18:30
→ XFarter: 後就直接「執行」,所以這一修才不是只影響到 Android 平 10/04 18:30
→ XFarter: 台而是大家都中 10/04 18:30
看起來是這樣沒錯,我的理解也差不多
推 rockmanalpha: 看起來就借Unity之手運行惡意程式碼 但遊戲有寫入檔 10/04 18:30
推 fkukg52155: 感謝翻譯 推 10/04 18:31
→ rockmanalpha: 案的情況不多吧 10/04 18:31
→ rockmanalpha: 應該說有給使用者寫入檔案的情況 10/04 18:31
※ 編輯: Y78 (61.193.112.69 日本), 10/04/2025 18:33:52
推 Richun: 通常都會看OS給到多大權限,Windows通常最危,Android則是 10/04 18:35
→ Richun: 有資料外洩的可能,iOS看有沒有類intent的機制做直接通訊 10/04 18:36
推 chualex66: ios的封閉機制就專防這種App伸出髒手的,沒事才是預料 10/04 18:37
→ chualex66: 之中 10/04 18:37
→ XFarter: 我後來想了一想 除了盜版以外其實第三方套件、Mod 甚至翻 10/04 18:38
→ XFarter: 譯包都有可能可以利用這個洞== 10/04 18:38
準備個惡意檔案倒是可以透過這些來準備,但是要把啟動參數傳進去的話
可能就要看個別 app 了?如果能傳啟動參數,代表本來就可以執行指令了
(在電腦上的話啦),可能就是做為一種提權的手段
推 sai007788: 就看你信不信官方本身跟知名補丁網站了 10/04 18:40
推 CrazyLord: 簡單來說 只要你App不是從Goole/Apple商店載的都能預 10/04 18:42
→ CrazyLord: 設是惡意 但不代表Google Play跟App Store裡的就一定 10/04 18:42
→ CrazyLord: 安全 10/04 18:42
推 cpu885: 推 10/04 18:43
推 as920909: 遊戲只要有存檔功能就會有檔案讀寫權限 遊戲主機的提權 10/04 18:44
→ as920909: 漏洞有很大一部分是遊戲有漏洞導致 10/04 18:44
推 r24694648: 感謝內容,推 10/04 18:45
→ tn1983: PC啟動遊戲裝第三方MOD就有機會中 10/04 18:50
推 g5637128: 推 10/04 18:51
推 ShibaTatsuya: 推 10/04 18:53
推 SunnyBrian: 推,看不懂但有點安心了 10/04 19:06
推 rainxo6p: 前面覺得還好反正手機只拿來工作用而已 但看到23樓後有 10/04 19:07
→ rainxo6p: 點怕了-.- 10/04 19:07
※ 編輯: Y78 (61.193.112.69 日本), 10/04/2025 19:12:58
推 AmeNe43189: 推 10/04 19:11
推 ChikuwaM: 推 10/04 19:27
推 Nighty7222: URL觸發就能啟動喔。好兇 10/04 19:37
推 WiLLSTW: 透過Url打開的遊戲 有些手遊會做轉去外面儲值之後自己幫 10/04 19:50
→ WiLLSTW: 你連回遊戲內的 10/04 19:50
→ WiLLSTW: 還有就是安卓裝app的時候真的要檢查一下他到底要開哪些 10/04 19:51
→ WiLLSTW: 權限 10/04 19:51
推 hwider: 謝謝分享 10/04 20:09
推 namirei: 推 10/04 20:12
推 iam1vol: 推 10/04 20:15
推 v86861062: 推推 10/04 20:26
推 w9515: 推 謝分享 10/04 20:39
推 a5480277: 請問 文章中提到的 Facebook Messenger相關資訊在哪啊? 10/04 20:45
→ a5480277: 喔 看到了 原來是pdf 沒事 10/04 20:46
是的就是那個,有點長就懶得看了:https://reurl.cc/MzEp13
跟這個洞本身關係不大就是了,只是關於透過 app 控制檔案寫入的地方可以參考
※ 編輯: Y78 (61.193.112.69 日本), 10/04/2025 20:49:56
推 iamstudent: 感謝知識分享 10/04 20:48
