Unity被曝严重安全漏洞，一场游戏行业的安全大考

近日，Unity引擎被安全研究员 RyotaK 发现存在严重安全漏洞(CVE编号： CVE-2025-59489)。该漏洞源于Unity 执行环境在处理 Android 平台上的 Intent 时存在安全缺陷。

漏洞技术原理

Unity 为了支持在 Android 设备上调试应用程序，默认将 UnityPlayerActivity 设置为导出状态，这意味着其他应用程序可以直接向其发送 Intent。

攻击者可以通过恶意 Intent 控制传递给 Unity 应用程序的命令行参数，特别是利用 -xrsdk-pre-init-library 参数指定任意共享库路径。

通过 Ghidra 对 Unity 运行时二进制文件进行分析后，可以发现相关命令行参数的值会直接传递给 dlopen 函数，导致指定的路径被作为原生库加载，从而执行任意代码。

Unity官网中关于该漏洞的描述

官方漏洞描述：https://unity.com/cn/security/sept-2025-01

漏洞影响范围

本次曝光的安全漏洞的影响范围十分广泛。受影响的版本包括Unity 2017.1 及以后的所有版本，其至连已停止支持的 2018.4、2018.3、2018.2、2018.1、2017.4 等版本也受到影响，官方建议 2019.1 及以上版本立即采取修复措施。

从平台角度看，Android应用程序面临的风险最高，可以导致代码执行和权限提升。Windows、linux桌面、Linux嵌入式和MacOs平台则主要面临权限提升风险。

漏洞攻击场景

攻击者可以利用此漏洞，在本地和远程场景下发动攻击。

本地攻击：

安装在同一设备上的恶意应用可以通过以下步骤利用此漏洞，首先提取在AndroidManifest.xml 中 android:extractNativeLibs 属性设置为 true 的原生库;随后使用 -xrsdk-pre-init-library 参数启动 Unity 应用，参数值指向恶意库路径;Unity 应用便可加载并执行恶意代码，恶意代码获得应用的所有权限。

远程攻击：

条件相对苛刻，需要满足两个条件:应用导出的UnityPlayerActivity或 UnityPlayerGameActivity 包含 android.intent.category.BROWSABLE 类别;应用向其私有存储写入攻击者可控内容的文件(例如通过缓存机制)。

漏洞负面影响

消息一出，包含《炉石传说》、《永恒之柱2》、《Among Us》以及《漫威终极逆转》在内的等多款游戏紧急下架或更新产品。

因该漏洞存在严重的安全隐患，如未及时更新修复，或将导致游戏违反Google Play “设备和网络滥用”政策，遭遇处罚无法发布应用更新。

违反Google Play政策将导致游戏被处罚

漏洞修复建议

面对这一高危漏洞，Unity已采取行动并提供两种主要修复方案。

对于使用 Unity 2019.1 及以上版本的开发者，Unity 已发布安全补丁，开发者应立即下载最新版本的 Unity 编辑器，重新编译应用程序并发布更新。

对于无法立即升级版本的项目，Unity 提供了专用的二进制补丁工具，开发者无需完整重新编译即可修复漏洞。

对于仍在使用2017.1至2018.4版本的开发者，由于这些版本已停止支持，官方可能不会提供补丁。建议这些开发者尽快升级到受支持的版本。

完整官方公告：https://discussions.unity.com/t/unity-platform-protection-take-immediate-action-to-protect-your-games-and-apps/1688031

此外，FairGuard游戏加固游戏提醒各位用户：游戏重新编译后，需要对其进行重新加固，如有任何对接需求，请随时与我们沟通，我们将及时响应为您提供服务。

丨结语

FairGuard作为专注于游戏安全领域的第三方服务商，致力于帮助游戏公司解决外挂和破解问题，为游戏提供深度一体化的加密保护方案。

开发团队深耕技术，研发了无导入函数SO加壳、无API签名校验、三端通用的Unity Assetbundle资源加密方案等多项业界独家技术。

目前产品已经被FunPlus、三七互娱、游族、心动网络、恺英网络等多家头部公司采用，接入600+款热门游戏。

产品咨询联系方式：

QQ：2079128588

微信：fairguard01

技术交流QQ群：1105310296