Compromiterile lanțului de distribuție software nu sunt o noutate, iar de data aceasta au vizat aplicația SmartTube: dezvoltatorul Yuriy Yuliskov afirmă că semnăturile digitale ale aplicației au fost afectate, ceea ce a permis livrarea unei actualizări malițioase către utilizatorii de Android TV, Fire TV stick-uri, set-top boxuri Android și dispozitive similare. Problema a ieșit la iveală după ce mai mulți utilizatori au raportat că Play Protect a blocat SmartTube și a afișat avertismente privind riscul pe dispozitivele lor.
Situația s-a complicat deoarece SmartTube este unul dintre cei mai folosiți clienți third-party pentru YouTube pe televizoare inteligente, apreciat pentru că este gratuit, blochează reclame și rulează bine pe hardware modest. Dezvoltatorul a confirmat că cheile digitale au fost compromise spre sfârșitul săptămânii trecute, a retras semnătura compromisă și a anunțat că va lansa în curând o versiune nouă, cu un app ID diferit, sfătuind utilizatorii să migreze la acea versiune când va fi disponibilă.
Un analist care a reverse-engineerat build-ul compromis 30.51 a descoperit o bibliotecă nativă ascunsă denumită libalphasdk.so, care a fost analizată și raportată pe VirusTotal. Această bibliotecă nu apare în codul sursă public, deci a fost injectată în build-urile de release. Biblioteca rulează în fundal fără interacțiune cu utilizatorul, colectează amprente ale dispozitivului, îl înregistrează la un backend la distanță și trimite periodic metrici, în timp ce primește configurații printr-un canal criptat. Toate acestea se întâmplă fără o indicație vizibilă pentru proprietar. Deși nu există dovezi publice de furt de conturi sau de implicare într-un botnet DDoS, rămâne riscul ca astfel de funcționalități să fie activate.
Dezvoltatorul a postat mai multe mesaje pe Telegram în care anunță build-uri beta și stabile pe care le consideră sigure, însă acele fișiere nu au apărut încă în repository-ul oficial GitHub al proiectului, ceea ce a generat neîncredere în comunitate. Yuliskov susține că a curățat mediul de dezvoltare și a reinstalat sistemul compromis la sfârșitul lunii noiembrie, iar după curățare a urcat câteva build-uri reconstruite pe sistemul curat. El spune că a luat la cunoștință problema în jurul versiunii 30.47, deși unii utilizatori au semnalat comportamente suspecte încă din 30.43, astfel că intervalul compromis pare a fi 30.43–30.47. Totodată, afirmă că începând cu versiunea 30.55 folosește o cheie nouă pentru securitate completă și că diferențele de hash raportate pentru 30.47 Stable v7a ar putea proveni din încercări de restaurare făcute după curățarea sistemului.
Până la publicarea unui raport tehnic complet de către dezvoltator, comunitatea primește sfaturi prudente: rămâneți pe build-urile mai vechi care sunt verificate ca sigure, evitați autentificarea cu conturi premium în aplicație, dezactivați actualizările automate și verificați conturile Google pentru acces neautorizat; utilizatorii afectați ar trebui să reseteze parolele Google și să elimine serviciile necunoscute din consola contului. Momentan nu este clar care versiuni sunt complet sigure; un utilizator a raportat că Play Protect nu semnalează versiunea 30.19, deci aceasta pare a fi în regulă. Analizele au remarcat că libalphasdk.so lipsește din codul public și a fost inserată în build-urile de release, ceea ce ridică semne de întrebare pentru curatori și utilizatori. BleepingComputer a contactat dezvoltatorul pentru clarificări, iar acesta a publicat comentarii despre măsurile luate și perioadele în care a observat problema; o actualizare cu informații suplimentare a fost înregistrată pe 2 decembrie.
Versiunile 30.43–30.47 sunt indicate ca fiind compromise. Exemple concrete: 30.51 a fost semnalată de Play Protect, iar 30.19 pare neafectată conform unui raport de utilizator; de la 30.55 dezvoltatorul spune că folosește o cheie nouă. Urmăriți apariția versiunii oficiale pe F-Droid și GitHub și cereți clarificări din partea proiectului înainte de a reinstala sau de a vă autentifica cu conturi sensibile. Ce părere ai despre măsurile preventive recomandate și ai verificat ce versiune de SmartTube folosești?
Fii primul care comentează