Celah keamanan kritis dalam runtime Unity telah mengekspos jutaan game mobile terhadap potensi serangan eksekusi kode, mempengaruhi judul-judul populer seperti Among Us dan Pokémon GO. Kerentanan ini, yang diberi kode CVE-2025-59489, telah memicu diskusi intens tentang keamanan game engine dan dampak nyata dari celah semacam ini.
Bug ini ditemukan oleh peneliti keamanan Ryotak selama Meta Bug Bounty Researcher Conference 2025. Unity sejak itu telah merilis patch untuk versi 2019.1 dan yang lebih baru, mendesak para developer untuk melakukan recompile dan menerbitkan ulang aplikasi mereka segera.
Timeline Kerentanan:
- Penemuan: Mei 2025 di Konferensi Peneliti Bug Bounty Meta
- Versi yang Terpengaruh: Unity 2017.1 dan versi selanjutnya
- Patch Tersedia: Unity 2019.1 dan versi selanjutnya
- CVE ID: CVE-2025-59489
Aplikasi Android Menghadapi Risiko Terbesar
Kerentanan ini terutama berdampak pada aplikasi Android yang dibangun dengan Unity. Celah tersebut terletak pada sistem penanganan intent Unity, yang dirancang untuk membantu developer melakukan debug aplikasi mereka. Aplikasi berbahaya apa pun yang terpasang pada perangkat yang sama dapat mengeksploitasi kelemahan ini dengan mengirim intent yang dibuat khusus ke aplikasi Unity.
Diskusi komunitas mengungkapkan bahwa meskipun judulnya terdengar mengkhawatirkan, ancaman sebenarnya bervariasi secara signifikan berdasarkan platform. Pada Android, kerentanan ini memungkinkan eksekusi kode yang sesungguhnya melalui izin aplikasi. Namun, pada platform desktop seperti Windows dan macOS, dampaknya lebih terbatas pada skenario eskalasi privilege.
Catatan: Intent adalah sistem pesan Android yang memungkinkan aplikasi berkomunikasi satu sama lain.
Platform yang Terpengaruh dan Dampaknya:
- Android: Eksekusi kode arbitrer penuh dengan izin aplikasi
- Windows: Eskalasi hak istimewa, eksekusi kode terbatas melalui penangan skema URL
- macOS: Eskalasi hak istimewa dalam konteks pengguna melalui izin aplikasi yang ditandatangani
- Linux: Dampak minimal, sebagian besar skenario setuid yang bersifat teoretis
Platform Windows dan Desktop Menunjukkan Dampak yang Beragam
Untuk pengguna Windows, implikasi keamanannya kurang jelas. Anggota komunitas menunjukkan bahwa Windows sudah memiliki vektor serangan yang ada yang mungkin lebih mudah dieksploitasi daripada celah Unity ini. Metode tradisional seperti DLL hijacking telah lama digunakan oleh penyerang dan modder yang sah untuk menyuntikkan kode ke dalam game.
Menarik bahwa Windows terdampak, tetapi pada Windows Anda dapat dengan mudah menjatuhkan dx9 dll atau sameNameAsExecutable.dll untuk 'menyuntikkan' kode. Umumnya digunakan oleh modder untuk Unity dan game lainnya.
Diskusi tersebut menyoroti bahwa Microsoft telah bekerja untuk mengatasi kekhawatiran keamanan yang lebih luas ini. Windows 11 versi 24H2 memperkenalkan kemampuan sandboxing baru untuk aplikasi Win32, mirip dengan cara kerja aplikasi Universal Windows Platform.
Eksploitasi Remote Tetap Terbatas
Meskipun kerentanan ini secara teoritis memungkinkan serangan remote melalui web browser, beberapa faktor membuat skenario ini tidak mungkin terjadi dalam praktik. Kebijakan keamanan SELinux Android mencegah sebagian besar upaya eksploitasi remote dengan memblokir akses ke file yang diunduh. Untuk serangan remote yang berhasil, aplikasi target memerlukan konfigurasi khusus dan kemampuan untuk menulis konten yang dikontrol penyerang ke penyimpanan pribadinya.
Konsensus komunitas menunjukkan bahwa meskipun kerentanan ini nyata, eksploitasi praktis memerlukan akses perangkat fisik atau keadaan yang sangat spesifik yang membatasi dampak dunia nyatanya.
Persyaratan Eksploitasi Jarak Jauh:
- Aplikasi harus mengekspor UnityPlayerActivity atau UnityPlayerGameActivity dengan android.intent.category.BROWSABLE
- Aplikasi harus menulis konten yang dikontrol penyerang ke penyimpanan pribadi
- Harus melewati pembatasan SELinux Android pada akses file
Keamanan Game Engine Mendapat Sorotan
Penemuan ini telah memicu kembali perdebatan tentang praktik keamanan dalam pengembangan game. Beberapa anggota komunitas berargumen bahwa perangkat lunak gaming sering memprioritaskan kecepatan ke pasar daripada pertimbangan keamanan, khususnya untuk alat pengembangan dan debugging.
Namun, yang lain membela industri ini, mencatat bahwa aplikasi Unity mendapat manfaat dari fitur keamanan memori C# dan bahwa kerentanan keamanan dapat mempengaruhi framework perangkat lunak apa pun. Diskusi juga menyentuh engine alternatif seperti Godot, dengan pendukung yang mengutip pengembangan open-source sebagai potensi yang lebih aman karena peningkatan visibilitas kode.
 |
|---|
| Logo yang merepresentasikan pemain kunci dalam industri gaming, menyoroti percakapan seputar praktik keamanan dalam pengembangan game |
Respons Developer dan Mitigasi
Unity telah mengatasi masalah ini dengan cepat, merilis patch dan advisory keamanan yang terperinci. Respons perusahaan menunjukkan pentingnya praktik pengungkapan yang bertanggung jawab dalam komunitas keamanan. Untuk developer yang menggunakan versi Unity yang terdampak, solusinya mudah tetapi memerlukan tindakan: unduh engine yang diperbarui, lakukan recompile aplikasi, dan terbitkan ulang ke app store.
Kerentanan ini berfungsi sebagai pengingat bahwa celah keamanan dapat ada dalam framework pengembangan yang banyak digunakan, berpotensi mempengaruhi ribuan aplikasi secara bersamaan. Seiring mobile gaming terus berkembang, penemuan semacam ini menyoroti kebutuhan akan kewaspadaan keamanan yang berkelanjutan di seluruh ekosistem pengembangan.
Referensi: CVE-2025-59489: Arbitrary Code Execution in Unity Runtime