Скачал артбук — получил вирус: как безобидные приложения превратились в ловушку

Почти восемь лет в одном из самых популярных игровых движков скрывалась серьёзная брешь. Компания Unity выпустила срочное обновление, чтобы устранить уязвимость, которая могла угрожать миллионам пользователей и разработчиков. Ошибка присутствовала во всех версиях движка, начиная с 2017 года, и затрагивала проекты на Windows, Linux, macOS и Android.

Ошибка, которую никто не замечал

Проблему специалисты Unity обнаружили 4 июня 2025 года, однако устранить её удалось только к октябрю. Всё это время в коде движка оставался дефект, позволяющий злоумышленникам внедрять вредоносные файлы в систему через игры и приложения, собранные на Unity.

Эта лазейка открывала доступ к выполнению произвольного кода и краже данных с правами самого приложения. По сути, уязвимость превращала любое Unity-приложение в потенциальный "троянский конь".

Интересно, что под угрозой оказались даже игры, не созданные на Unity напрямую. Например, у Avowed на движке Unreal Engine 5 есть цифровой артбук, выполненный как Unity-приложение. Он также попал под воздействие найденного бага.

Компания оценила степень опасности в 7,4 балла из 10 — высокий уровень риска, хотя подтверждённых случаев эксплуатации пока не выявлено.

"Доказательств того, что уязвимость использовалась в реальных атаках, пока нет", — сообщили представители Unity.

Кто оказался под ударом

Баг коснулся не только инди-разработчиков, но и крупных студий, чьи проекты построены на Unity. После публикации отчёта компании ряд издателей временно убрали свои игры из продажи. Среди них — Obsidian Entertainment, которая закрыла доступ к Avowed, Pillars of Eternity и Grounded 2.

Схожие меры приняли и другие издатели. Например, Bethesda Softworks на время сняла с продажи Fallout Shelter. Такие шаги объясняются необходимостью перекомпиляции и повторной публикации приложений с исправленным движком.

Что делать разработчикам

Unity настоятельно рекомендует обновить среду разработки до последней версии через Unity Hub или Unity Download Archive, после чего:

1. Пересобрать проект в новой сборке движка.

2. Перепроверить библиотеки и сторонние плагины.

3. Повторно опубликовать игру или приложение.

По словам инженеров компании, только полная перекомпиляция гарантирует устранение проблемы.

Реакция индустрии

Угроза безопасности вызвала цепную реакцию. Valve уже выпустила обновлённый клиент Steam, который блокирует попытки эксплуатации найденной уязвимости. Microsoft добавила защиту от неё в Defender, а Google внедрила соответствующие фильтры в Play Protect.

"Unity присвоила проблеме высокий уровень опасности (7,4 балла из 10)", — уточнили в пресс-релизе компании.

На этом фоне сообщество разработчиков обсуждает, как ошибка могла оставаться незамеченной почти восемь лет. Некоторые специалисты считают, что подобные инциденты станут стимулом для перехода на открытые игровые движки, где уязвимости выявляются быстрее.

Таблица "Сравнение": меры защиты от уязвимости

Как защитить свою систему: шаг за шагом

1. Обновите Unity - используйте только актуальные версии движка.

2. Сканируйте компьютер антивирусом - Microsoft Defender или сторонние решения теперь распознают уязвимость.

3. Пересоберите проект - если вы разработчик, не ограничивайтесь патчем, а проведите полную перекомпиляцию.

4. Проверяйте цифровые дополнения - артбуки, лаунчеры и демо-версии на Unity тоже требуют обновления.

5. Следите за новостями безопасности - многие компании уже начали выпускать дополнительные обновления.

Ошибка → Последствие → Альтернатива

• Ошибка: использование устаревшей версии Unity.

• Последствие: возможность внедрения вредоносного кода в систему.

• Альтернатива: обновление движка, установка актуального антивируса и использование официальных исходников без сторонних модификаций.

А что если обновление пропустить?

Игры, созданные на старых версиях движка, потенциально остаются уязвимыми. Даже если приложение не подключено к сети, вредоносные файлы могут быть внедрены через локальные ресурсы — например, моды или пользовательские сохранения.

Unity предупреждает, что такие случаи уже анализируются в рамках внутреннего аудита. Поэтому откладывать установку обновления не стоит — оно касается не только безопасности пользователей, но и репутации разработчиков.

Плюсы и минусы массового обновления

FAQ

Как узнать, затронута ли моя игра?
Если проект создан на Unity версии 2017.1 или выше, обновление обязательно. Проверить версию можно в разделе Project Settings → About Unity.

Можно ли играть в старые версии игр без обновления?
Теоретически да, но это небезопасно. Даже офлайн-игры могут содержать вредоносные элементы.

Как защититься игроку, если он не разработчик?
Обновить клиент Steam, установить свежие антивирусные базы и удалить подозрительные Unity-приложения.

Что делать, если уязвимость уже сработала?
Провести полную проверку системы, переустановить ОС или восстановить данные из резервной копии.

Мифы и правда

Миф: уязвимость затронула только игры на Windows.
Правда: ошибка присутствовала и в версиях Unity для macOS, Linux и Android.

Миф: если игра из магазина, она безопасна.
Правда: даже приложения в Steam или Google Play могут содержать старые версии движка.

Миф: уязвимость была незначительной.
Правда: уровень опасности — 7,4 из 10, что классифицируется как высокий риск.

Исторический контекст

Unity — один из самых популярных игровых движков с 2005 года. Он используется в тысячах проектов — от мобильных игр до VR-приложений. Ранее компания уже сталкивалась с инцидентами безопасности, но столь масштабная ошибка впервые потребовала глобального пересмотра архитектуры.

Похожие случаи происходили и с другими платформами. Например, в 2023 году Unreal Engine устранял уязвимость, позволявшую получать доступ к файловой системе через плагин Marketplace. Тогда обновление прошло быстрее, чем у Unity.

Три интересных факта

• Более половины всех мобильных игр в мире созданы на Unity.
• В 2022 году движок использовался в 70% AR/VR-приложений.
• В день выхода обновления количество загрузок Unity Hub выросло на 350%.