A népszerű, nyílt forráskódú Android TV-re készült SmartTube YouTube-kliens kompromittálódott, miután egy támadó hozzáférést szerzett a fejlesztő alkalmazás aláíró kulcsaihoz, mely lehetővé tette, hogy a támadó rosszindulatú frissítést juttasson el a felhasználók eszközeire.
A problémára azt követően derült fény, hogy több felhasználó jelezte, hogy a Play Protect, az Android integrált vírusvédelmi rendszere blokkolta a SmartTube futását, és biztonsági kockázatra figyelmeztetett.
A SmartTube fejlesztője, Yuriy Yuliskov megerősítette, hogy digitális aláíró kulcsai nemrég kompromittálódtak. Ennek következtében rosszindulatú komponensek kerültek az alkalmazásba. Yuliskov visszavonta a korábbi aláírást, és bejelentette, hogy új alkalmazásazonosítóval rendelkező verziót készít, amelyre a felhasználóknak mielőbb érdemes áttérniük.
A SmartTube az egyik legismertebb és széles körben használt, harmadik féltől származó YouTube-kliens Android TV-khez, Fire TV eszközökhöz, Android TV boxokhoz és más hasonló platformokhoz. Népszerűségét többek között a hirdetésblokkolási képességnek, a díjmentes használatnak és a gyengébb hardvereken is stabil működésnek köszönheti.
Egy felhasználó, aki visszafejtette a kompromittált 30.51-es verziót, egy rejtett natív könyvtárat azonosított libalphasdk[.]so néven (VirusTotal). Ez a komponens nem szerepel a nyílt forráskódban, vagyis egyértelműen a kiadott build utólagos módosításából származik. A könyvtár felhasználói interakció nélkül, háttérfolyamatként működik, eszközszintű ujjlenyomatot generál a host rendszerről, regisztrálja azt egy távoli backend szolgáltatás felé, majd titkosított kommunikációs csatornán keresztül periodikusan telemetriai adatokat továbbít és konfigurációs állományokat kér le. A folyamat teljes egészében a háttérben fut, bármilyen felhasználói visszajelzés vagy értesítés nélkül. Bár jelenleg nincs bizonyíték olyan kártékony tevékenységre, mint például fiókadatok eltulajdonítása vagy DDoS-botnetben való részvétel, a funkciók megléte komoly potenciális kockázatot jelent.
A fejlesztő a Telegramon már bejelentette biztonságosnak szánt béta- és tesztverziók kiadását, ezek egyelőre még nem érhetők el a projekt hivatalos GitHub repository-ban.
A felhasználóknak javasolt:
- a korábbi, ismerten biztonságos SmartTube-verziók használata,
- a prémium fiókokkal történő bejelentkezés mellőzése,
- az automatikus frissítés kikapcsolása,
- a Google-fiókjaik jelszavának megváltoztatása,
- a fiókkezelő konzol ellenőrzése az esetleges illetéktelen hozzáférések azonosítása érdekében,
- illetve minden ismeretlen vagy gyanús szolgáltatás eltávolítása.
