Popularni open-source SmartTube YouTube klijent za Android TV kompromitovan je nakon što je napadač došao do potpisnih ključeva razvijača, što je omogućilo slanje maliciozne nadogradnje korisnicima.
Kompromitovanje je otkriveno kada je više korisnika prijavilo da je Play Protect, ugrađeni antivirusni modul Androida, blokirao SmartTube na njihovim uređajima i upozorio ih na rizik.
Razvijač SmartTube aplikacije, Jurij Juliskov, potvrdio je da su njegovi digitalni ključevi kompromitovani krajem prošle nedjelje, što je dovelo do injektovanja malvera u aplikaciju.
Juliskov je opozvao stari potpis i najavio skoro objavljivanje nove verzije sa odvojenim ID-em aplikacije, savjetujući korisnicima da pređu na nju.
SmartTube je jedan od najpreuzimanijih trećih YouTube klijenata za Android TV, Fire TV stikove, Android TV boksove i slične uređaje.
Njegova popularnost dolazi od toga što je besplatan, može blokirati reklame i dobro radi na slabijim uređajima.
Jedan korisnik koji je izvršio reverse engineering kompromitovane verzije SmartTube 30.51 otkrio je da sadrži skrivenu nativnu biblioteku pod nazivom libalphasdk.so [VirusTotal]. Ova biblioteka ne postoji u javnom izvornom kodu, što upućuje na to da je naknadno ubačena u finalne buildove.
„Moguće je da se radi o malveru. Ova datoteka nije dio mog projekta niti bilo kog SDK-a koji koristim. Njeno prisustvo u APK-u je neočekivano i sumnjivo. Preporučujem oprez dok se njen izvor ne utvrdi“, upozorio je Juliskov u GitHub temi.
Biblioteka se tiho izvršava u pozadini bez interakcije korisnika, vrši fingerprinting uređaja, registruje ga na udaljeni backend i periodično šalje metrike i dobija konfiguracije kroz enkriptovani kanal komunikacije.
Sve se to dešava bez ikakvog vidljivog indikatora za korisnika. Iako trenutno nema dokaza o malicioznoj aktivnosti poput krađe naloga ili korišćenja uređaja u DDoS botnetima, rizik da se takve aktivnosti omoguće u bilo kom trenutku je visok.
Iako je razvijač na Telegramu najavio bezbjedne beta i stabilne test verzije, one još nisu dostupne na zvaničnom GitHub repozitorijumu projekta.
Takođe, razvijač još nije pružio kompletne detalje o tome šta se tačno desilo, što je izazvalo pad povjerenja u zajednici.
Juliskov je obećao da će odgovoriti na sva pitanja kada finalna verzija nove aplikacije bude objavljena na F-Droid prodavnici.
Dok razvijač javno i transparentno ne objasni sve tačke kroz detaljan post-mortem, korisnicima se preporučuje da ostanu na starijim, poznato bezbjednim verzijama, izbjegavaju prijavu sa premium nalozima i isključe automatske nadogradnje.
Pogođenim korisnicima se takođe preporučuje da resetuju lozinke svojih Google naloga, provjere konzolu naloga zbog neovlašćenih pristupa i uklone servise koje ne prepoznaju.
Za sada nije jasno kada je kompromitovanje tačno nastupilo niti koje verzije SmartTube-a su bezbjedne za upotrebu. Jedan korisnik je prijavio da Play Protect ne označava verziju 30.19, pa izgleda da je ona bezbjedna.
BleepingComputer je kontaktirao Juliskova kako bi utvrdio koje verzije SmartTube aplikacije su kompromitovane, a on je odgovorio sljedeće:
„Neki od starijih buildova koji su se pojavili na GitHubu nenamjerno su kompromitovani zbog malvera koji je bio prisutan na mom razvojnom računaru u trenutku kada su kreirani. Čim sam to primijetio krajem novembra, odmah sam obrisao sistem i očistio okruženje, uključujući GitHub repozitorijum.“
„Postao sam svjestan problema sa malverom oko verzije 30.47, ali kako korisnici navode, počelo je oko verzije 30.43. Dakle, po mom razumijevanju kompromitovane verzije su: 30.43–30.47.“
„Nakon čišćenja okruženja, nekoliko buildova je objavljeno koristeći prethodni ključ (pripremljenih na čistom sistemu), ali od verzije 30.55 nadalje prešao sam na novi ključ radi potpune bezbjednosti. Različite hash vrijednosti za 30.47 Stable v7a su vjerovatno rezultat pokušaja da se taj build obnovi nakon čišćenja inficiranog sistema.“
Izvor: BleepingComputer
