Una vulnerabilidad en Unity Web Player permite robar datos de los usuarios
Cada vez son más los desarrolladores que optan por utilizar esta plataforma para crear las aplicaciones para diferentes sistemas operativos. Web, Android, iOS, PlayStation o Windows Phone son algunas de las opciones que ofrece. Sin embargo, un error detectado en Unity Web Player podría exponer los datos del disco duro del equipo en el que se ejecuta.
Utilizado para renderizar aplicaciones creadas con este motor y disponible para los navegadores web más importantes como complemento, la compañía estima que cerca de 600 millones de usuarios lo utilizan en la actualidad, cifra que ya avisamos tiene trampa ya que se han basado en las descargas realizadas hasta este momento.
La vulnerabilidad zero-day detectada permite a un atacante ejecutar una aplicación maliciosa y que acceda a servicios y haga uso de las credenciales almacenadas en el equipo sin el consentimiento del usuario y evitando la seguridad impuesta por crossdomain.xml.
El investigador encargado de descubrir la vulnerabilidad ha publicado un vídeo en el que se puede apreciar cómo se puede producir este robo de información, acentuado en el navegador Internet Explorer por la presencia de determinadas características de seguridad.
El error fue reportado en diciembre del pasado año a los responsables de desarrollo de Unity pero el investigador aún no ha recibido ningún tipo de respuesta y el bug persiste, provocando que aparezcan las primeras dudas sobre la resolución del mismo.
Para minimizar el impacto de esta vulnerabilidad lo más recomendable es no ejecutar aplicaciones que provengan de fuentes desconocidas, pudiendo tomar como solución drástica llevar a cabo su desinstalación, algo complicado si de hacer si eres desarrollador y vas a necesitar este complemento.
Post: https://underc0de.org/foro/noticias-informaticas-120/una-vulnerabilidad-en-unity-web-player-permite-robar-datos-de-los-usuarios/