安卓电视平台的开源 YouTube 客户端 SmartTube 已确认遭入侵——攻击者获取开发者的数字签名密钥后,向用户推送了包含恶意代码的更新包。
此次安全事件由多名用户反馈发现:安卓内置杀毒模块 Google Play Protect 在部分设备上拦截了 SmartTube,并向用户发出安全风险警示。
SmartTube 开发者证实,其数字签名密钥于上周末被盗,导致恶意软件被注入应用程序。目前已吊销旧签名,并表示将尽快发布采用独立应用 ID 的新版本,同时敦促用户升级至该安全版本。
作为安卓电视、Fire TV、安卓电视盒等设备上下载量最高的第三方 YouTube 客户端之一,SmartTube 的流行源于其免费属性、广告拦截功能,以及在低性能设备上的流畅运行表现。
一名逆向工程师对遭入侵的 30.51 版本进行分析后发现,该版本包含一个名为 libalphasdk.so 的隐藏原生库( [ 病毒总数平台检测链接 ] )。由于该库未出现在公开源代码中,推测是在发布构建过程中被恶意注入。
开发者表示:" 这很可能是一款恶意软件。该文件并非所使用 SDK 的组成部分,其出现在 APK 安装包中完全出乎意料且存在高度可疑性。在核实其来源前,建议用户保持警惕。"
经分析,该恶意库会在后台静默运行,无需用户交互即可完成设备指纹采集、向远程服务器注册设备,并通过加密通信通道定期发送设备指标数据及获取配置指令。尽管目前尚未发现账号盗窃、参与 DDoS 僵尸网络等恶意行为,但攻击者可随时利用该模块发起此类攻击,潜在风险极高。
尽管开发者已在 Telegram 宣布发布安全测试版及稳定测试版,但这些版本尚未同步至项目官方 GitHub 仓库。此外,开发者未披露事件完整细节,引发用户信任危机。SmartTube 表示,待新版应用正式上架 F-Droid 应用商店后,将全面回应所有关问题。
在开发者通过详细事后分析报告公开披露全部事件细节前,安全专家建议用户:保持使用经验证安全的旧版本、避免登录高级账户、关闭自动更新功能;受影响用户应重置 Google 账户密码,检查账户控制台是否存在未授权访问记录,并移除陌生关联服务。
为确保完全安全,SmartTube 已从 30.55 版本起已切换至新签名密钥。30.47 Stable v7a 版本出现不同哈希值,可能是在清理受感染系统后尝试恢复该版本所致。
