- Eine schädliche Bibliothek hat sich in SmartTube-Updates eingeschlichen, ohne dass Benutzer etwas Ungewöhnliches bemerkten
- Play Protect-Warnungen veranlassten die Community, den verdächtigen Build zu untersuchen
- Die versteckte Datei unterhielt Fernkommunikationskanäle und alarmierte die Benutzer
SmartTube, ein weit verbreiteter YouTube-Client für Android TV, wurde kürzlich ernsthaft kompromittiert, nachdem ein Angreifer Zugriff auf die Signaturschlüssel des Entwicklers erlangt hatte.
Dieser Verstoß ermöglichte es einem böswilligen Update, Benutzer ohne Vorwarnung zu erreichen und eine geheime native Bibliothek namens libalphasdk.so (VirusTotal) hinzuzufügen.
Die Bewertung der Version 30.51 zeigt, dass die versteckte Bibliothek nicht in der Open-Source-Codebasis erscheint.
Versteckter Code und unbeantwortete Fragen
Dies löste ein Warnsignal aus, da die Datei im Hintergrund ausgeführt wurde, das Gerät bei einem Remote-Server registrierte und die Kommunikation aufrechterhielt, ohne den Benutzer zu benachrichtigen.
Der Vorfall wurde bekannt, als Play Protect die App meldete und Installationen blockierte, was in der gesamten Community sofort Bedenken auslöste.
Das Verhalten passte zu überwachungsähnlichen Aktivitäten und ließ Bedenken hinsichtlich eines möglichen Missbrauchs aufkommen.
Yuriy Yuliskov, der Entwickler von SmartTube, bestätigte, dass ein Angreifer seine Schlüssel gestohlen und der App schädlichen Code hinzugefügt hatte.
Dies veranlasste ihn, die Signatur zu widerrufen und mit der Arbeit an einer sauberen Veröffentlichung zu beginnen, und er beschrieb die Datei als unerwartet und verdächtig.
„Möglicherweise eine Malware. Diese Datei ist nicht Teil meines Projekts oder eines von mir verwendeten SDK. Ihr Vorhandensein in der APK ist unerwartet und verdächtig. Ich empfehle Vorsicht, bis ihre Herkunft überprüft ist“, sagte Yuliskov in einem GitHub-Thread.
Der Entwickler gab außerdem auf Telegram bekannt, dass Beta- und stabile Test-Builds verfügbar seien, diese Builds jedoch noch nicht im offiziellen Repository erschienen seien.
Benutzer haben keine klare Erklärung darüber erhalten, wie es zu der Kompromittierung kam oder welche Versionen betroffen waren.
Diese Informationslücke hat bei Langzeitanwendern, die eine eindeutige Obduktion erwarteten, für Unbehagen gesorgt.
Einige Community-Mitglieder berichteten, dass ältere Versionen wie 30.19 Play Protect nicht auslösten, die allgemeine Sicherheit bestimmter Versionen jedoch weiterhin ungewiss sei.
Bis vollständige Klarheit herrscht, sollten Benutzer bei älteren verifizierten Builds bleiben, die Anmeldung mit wichtigen Konten vermeiden und automatische Updates deaktivieren.
Das Zurücksetzen der Passwörter für Google-Konten und die Überprüfung der Kontoaktivitäten könnten dazu beitragen, das Risiko eines unbefugten Zugriffs zu verringern.
Gelegentliche Antivirenprüfungen können zusätzliche Sicherheit bieten, und wenn etwas Ungewöhnliches erscheint, können Benutzer gezielt Malware entfernen.
Das Festlegen strengerer Firewall-Regeln kann auch dazu beitragen, unerwünschte Verbindungen zu reduzieren, während auf eine saubere Veröffentlichung gewartet wird.
Allerdings hat Yuliskov versprochen, alle Probleme zu beheben und eine neue Version im F-Droid-Store zu veröffentlichen, aber dieser Vorfall zeigt, wie selbst vertrauenswürdige Open-Source-Projekte angreifbar werden können, wenn wichtige Sicherheitskontrollen versagen.
Über Piepender Computer
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
