Unity Android Bug: Check Je Wallet Veiligheid!

Is Een Unity Android Bug In Staat Je Wallet Leeg Te Maken? Zo Controleer Je Het!

4 oktober 2025 om 11:25

Leestijd: 3 minuten

Crypto-toepassingen en gaming-apps die gebruikmaken van Unity ondervinden momenteel ernstige beveiligingsproblemen. Recent is een kwetsbaarheid ontdekt die het mogelijk maakt voor een kwaadwillende applicatie, die al op een apparaat staat, om een kwetsbare Unity-app te dwingen om schadelijke code te laden. Deze kwetsbaarheid, aangeduid als CVE-2025-59489, werd op 2 oktober 2023 openbaar gemaakt. Het bijzondere aan deze kwetsbaarheid is dat de code draait met de eigen permissies van de game op Android, wat lokaal code-executie mogelijk maakt.

Voor desktopgebruikers ligt het risico vooral in het verhogen van de privileges. Unity zelf heeft het ontbreken van bewijs van actieve exploitatie in de praktijk benadrukt, maar stelt dat snelle updates noodzakelijk zijn. De bug zorgt ervoor dat de runtime van Unity specifieke pre-initialisatie-argumenten accepteert, wat de zoeklocaties voor native bibliotheken beïnvloedt. Wanneer een aanvaller die zoekroute in zijn macht heeft, kan de Unity-app de bibliotheek van de aanvaller laden en uitvoeren. Beveiligingsfirma GMO Flatt legt uit dat het product vertrouwt op bronnen die zijn aangetroffen op een externe of door de aanvaller beïnvloede route.

Risico’s voor crypto-gerelateerde applicaties

Vele Unity-gebaseerde apps integreren wallet SDK’s, custodial logins of WalletConnect-achtige sessies. In een situatie waarin kwaadwillige code in een specifieke Unity-app wordt geïnjecteerd, kan deze toegang krijgen tot privébestanden, een WebView overnemen, hetzelfde signeren via API’s aanroepen of sessietokens exfiltreren. Hoewel de geïnjecteerde code niet de veilige omgevingen van andere wallets kan binnendringen, houdt de kwetsbare Unity-app sleutels vast of kan deze handtekeningen aanvragen via de Android Keystore. Dit stelt een aanvaller in staat om gebruik te maken van toestemmingen die al zijn verleend.

Unity benadrukte in hun advies dat de impact is beperkt tot de privileges van de app, precies de permissies waarop een in de game ingebed portemonnee vertrouwt. Het verifiëren of een apparaat getroffen is, begint met het controleren van de datums op de app-winkelpagina’s. Op Android, als een game- of wallet-app een update toont op of na 2 oktober, duidt dit erop dat de ontwikkelaar waarschijnlijk de app opnieuw heeft opgebouwd met een geüpdatete Unity-editor of de patch van Unity heeft toegepast.

Eerdere versies moeten als potentieel kwetsbaar worden beschouwd totdat ze zijn geüpdatet. Unity heeft benadrukt dat er tot nu toe geen bekende exploitatie heeft plaatsgevonden, maar dat er wel een risico bestaat als gebruikers ook kwaadwillende applicaties installeren die deze kwetsbaarheid kunnen aansteken. Het is raadzaam om Play Protect ingeschakeld te houden, geen toepassingen van onbekende bronnen te sideloaden, en verdachte apps te verwijderen.

Waakzaamheid blijft noodzakelijk

Zelfs na het toepassen van patches dienen gebruikers wallet-integratieflows defensief te behandelen. Het is cruciaal om ervoor te zorgen dat seed-woorden nooit als platte tekst worden opgeslagen en om biometrische beveiliging voor elke transactie te vereisen. Ook kan de Android Keystore worden benut voor sleutels die impliciet gebruikersbevestiging nodig hebben voor alle handtekeningoperaties.

Het loskoppelen van opgezegde WalletConnect-sessies en het bewaren van grotere bedragen op een hardware wallet totdat ontwikkelaars bevestigen dat een gepatchte Unity-build actief is, zijn slimme voorzorgsmaatregelen. Deze stappen verkleinen de aanvalsvectoren, zelfs als er in de toekomst een nieuwe bug in het pad van een app zou worden aangetroffen.

Hoewel CVE-2025-59489 een ernstige kwetsbaarheid is, bestaan er duidelijke oplossingen en richtlijnen die zowel gebruikers als ontwikkelaars kunnen helpen om veilig te blijven.

Vraag & Antwoord

Welke impact heeft de kwetsbaarheid op de veiligheid van crypto-apps?
De kwetsbaarheid stelt aanvallers in staat om de Unity-app te beïnvloeden en schadelijke code uit te voeren, wat kan leiden tot ongeoorloofde toegang tot persoonlijke gegevens en wallet-informatie.

Wat moeten ontwikkelaars doen om hun apps te beschermen?
Ontwikkelaars dienen hun Unity-editor te controleren en updates toe te passen volgens de gepubliceerde versies van Unity om de kwetsbaarheid te patchen.

Hoe kunnen gebruikers hun wallet-beveiliging verbeteren?
Gebruikers moeten seed-woorden veilig bewaren, biometrische authenticatie inschakelen voor transacties en hun wallets regelmatig controleren op verdachte activiteiten.

Deel dit Artikel:

Disclaimer: de informatie op Block 9 is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden. Hoewel wij streven naar het aanbieden van actuele, correcte en relevante content, geven wij geen garanties met betrekking tot de volledigheid, juistheid of betrouwbaarheid van de verstrekte informatie. Alle inhoud op deze website, waaronder artikelen, analyses, meningen en andere publicaties, is bedoeld als algemene informatie en vormt op geen enkele wijze professioneel of juridisch advies, inclusief maar niet beperkt tot financieel, beleggings- of belastingadvies.

Block 9 geeft geen enkele garantie en doet geen enkele toezegging over mogelijke resultaten of opbrengsten die kunnen voortvloeien uit het gebruik van informatie op deze website. Niets op deze website mag worden geïnterpreteerd als een aanbeveling tot aankoop, verkoop of het aanhouden van bepaalde activa, waaronder maar niet beperkt tot cryptovaluta, tokens of andere financiële instrumenten.

De meningen en standpunten die worden geuit in bijdragen van redacteuren, externe auteurs of communityleden zijn strikt persoonlijk en vertegenwoordigen niet noodzakelijkerwijs de zienswijze of het beleid van Block 9 als platform. Block 9 aanvaardt geen enkele aansprakelijkheid voor enig verlies of schade – direct of indirect – als gevolg van het gebruik van (of het vertrouwen op) de informatie die op deze website wordt gepubliceerd.

Beleggen in cryptovaluta en andere digitale activa brengt aanzienlijke risico’s met zich mee. De waarde van dergelijke activa kan sterk fluctueren, en er bestaat een kans dat je (een deel van) je inleg verliest. Wij raden je ten zeerste aan om altijd je eigen onderzoek te doen (do your own research – DYOR) en onafhankelijk advies in te winnen van een gekwalificeerde financieel adviseur voordat je financiële beslissingen neemt. Door deze website te gebruiken, ga je akkoord met deze disclaimer en accepteer je dat Block 9 niet verantwoordelijk is voor jouw investeringskeuzes of de resultaten daarvan.