- Een kwaadaardige bibliotheek is in SmartTube-updates terechtgekomen zonder dat gebruikers iets ongewoons merkten
- Play Protect-waarschuwingen brachten de community ertoe de verdachte build te onderzoeken
- Het verborgen bestand handhaafde communicatiekanalen op afstand, waardoor gebruikers werden gealarmeerd
SmartTube, een veelgebruikte YouTube-client voor Android TV, werd onlangs geconfronteerd met een ernstig compromis nadat een aanvaller toegang kreeg tot de ondertekeningssleutels van de ontwikkelaar.
Door deze inbreuk kon een kwaadaardige update gebruikers bereiken zonder enige waarschuwing, waarbij een geheime native bibliotheek werd toegevoegd die bekend staat als libalphasdk.so (VirusTotal).
Uit evaluatie van versie 30.51 blijkt dat de verborgen bibliotheek niet voorkomt in de open source codebase.
Verborgen code en onbeantwoorde vragen
Dit leidde tot een rode vlag, omdat het bestand op de achtergrond draaide, het apparaat registreerde bij een externe server en de communicatie in stand hield zonder de gebruiker te waarschuwen.
Het incident kwam aan het licht toen Play Protect de app markeerde en installaties blokkeerde, wat tot onmiddellijke bezorgdheid in de hele gemeenschap leidde.
Het gedrag kwam overeen met surveillance-achtige activiteiten en gaf aanleiding tot bezorgdheid over mogelijk misbruik.
Yuriy Yuliskov, de ontwikkelaar van SmartTube, bevestigde dat een aanvaller zijn sleutels had afgepakt en schadelijke code aan de app had toegevoegd.
Dit bracht hem ertoe de handtekening in te trekken en aan een schone release te beginnen, en hij beschreef het bestand als onverwacht en verdacht.
“Mogelijk malware. Dit bestand maakt geen deel uit van mijn project of van een SDK die ik gebruik. De aanwezigheid ervan in de APK is onverwacht en verdacht. Ik raad aan voorzichtig te zijn totdat de oorsprong ervan is geverifieerd”, zei Yuliskov in een GitHub-thread.
De ontwikkelaar maakte ook op Telegram bekend dat er bèta- en stabiele testbuilds beschikbaar waren, maar deze builds zijn nog niet in de officiële repository verschenen.
Gebruikers hebben geen duidelijke uitleg gekregen over hoe de inbreuk heeft plaatsgevonden of welke versies zijn getroffen.
Deze informatiekloof heeft voor onrust gezorgd bij ervaren gebruikers die een duidelijk postmortem verwachtten.
Sommige communityleden meldden dat oudere versies, zoals 30.19, Play Protect niet activeerden, maar dat de algehele veiligheid van specifieke releases onzeker blijft.
Totdat er volledige duidelijkheid ontstaat, moeten gebruikers zich houden aan oudere, geverifieerde builds, niet inloggen met belangrijke accounts en automatische updates uitschakelen.
Het opnieuw instellen van de wachtwoorden voor Google-accounts en het controleren van accountactiviteit kan het risico op ongeautoriseerde toegang helpen verminderen.
Het af en toe uitvoeren van antiviruscontroles kan een geruststelling toevoegen, en als er iets ongewoons lijkt, kunnen gebruikers doelgericht malware verwijderen.
Het instellen van strengere firewallregels kan ook helpen om ongewenste verbindingen te verminderen terwijl u wacht op een schone release.
Dat gezegd hebbende, heeft Yuliskov beloofd alle problemen op te lossen en een nieuwe versie in de F-Droid-winkel te publiceren, maar dit incident laat zien hoe zelfs vertrouwde open-sourceprojecten kwetsbaar kunnen worden als belangrijke beveiligingscontroles mislukken.
Via Piepende computer
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En dat kan natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, unboxings in videovorm en ontvang regelmatig updates van ons WhatsAppen te.
