- Вредоносная библиотека проникла в обновления SmartTube, и пользователи не заметили ничего необычного
- Предупреждения Play Protect побудили сообщество расследовать подозрительную сборку
- Скрытый файл поддерживал дальние каналы связи и предупреждал пользователей.
SmartTube, широко используемый клиент YouTube для Android TV, недавно был серьезно скомпрометирован после того, как злоумышленник получил доступ к ключам подписи разработчика.
Это нарушение позволило вредоносному обновлению без предупреждения добраться до пользователей и добавить секретную собственную библиотеку под названием libalphasdk.so. [VirusTotal].
Оценка версии 30.51 показывает, что скрытая библиотека не отображается в базе кода с открытым исходным кодом.
Скрытый код и вопросы без ответов
Это вызвало красный флаг, поскольку файл работал в фоновом режиме, регистрируя устройство на удаленном сервере и поддерживая связь без уведомления пользователя.
Инцидент стал известен, когда Play Protect сообщил о приложении и заблокировал его установку, что сразу же вызвало обеспокоенность среди сообщества.
Такое поведение соответствовало деятельности, похожей на слежку, и вызывало обеспокоенность по поводу возможного злоупотребления.
Разработчик SmartTube Юрий Юлисков подтвердил, что злоумышленник украл его ключи и добавил в приложение вредоносный код.
Это побудило его отозвать подпись и начать работу над чистым выпуском, а файл он назвал неожиданным и подозрительным.
«Возможно, это вредоносная программа. Этот файл не является частью моего проекта или какого-либо SDK, который я использую. Его присутствие в APK является неожиданным и подозрительным. Я рекомендую соблюдать осторожность, пока его происхождение не будет проверено», — сказал Юлисков в ветке GitHub.
Разработчик также сообщил в Telegram, что доступны бета-версии и стабильные тестовые сборки, однако в официальном репозитории эти сборки пока не появились.
Пользователи не получили четкого объяснения того, как произошла компрометация и какие версии были затронуты.
Этот информационный пробел вызвал дискомфорт среди давних пользователей, которые ожидали четкого вскрытия.
Некоторые члены сообщества сообщили, что более старые версии, такие как 30.19, не активировали Play Protect, но общая безопасность некоторых версий оставалась неопределенной.
Пока не будет полной ясности, пользователям следует придерживаться старых проверенных сборок, избегать входа в систему с важными учетными записями и отключать автоматические обновления.
Перезагрузить Пароли учетных записей Google и проверка активности учетной записи могут помочь снизить риск несанкционированного доступа.
Периодические антивирусные проверки могут обеспечить дополнительную безопасность, и если появляется что-то необычное, пользователи могут специально удалить вредоносное ПО.
Установка более строгих правил брандмауэра также может помочь уменьшить количество нежелательных подключений во время ожидания чистой версии.
Однако Юлисков пообещал исправить все проблемы и выпустить новую версию в магазине F-Droid, но этот инцидент показывает, как даже проверенные проекты с открытым исходным кодом могут стать уязвимыми, когда ключевые элементы управления безопасностью выходят из строя.
Над Звуковой сигнал компьютера
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
