Klien YouTube SmartTube sumber terbuka yang populer untuk Android TV disusupi setelah penyerang memperoleh akses ke kunci penandatanganan pengembang, yang menyebabkan pembaruan berbahaya dikirimkan ke pengguna.
Kompromi ini diketahui ketika beberapa pengguna melaporkan bahwa Play Protect, modul antivirus bawaan Android, memblokir SmartTube di perangkat mereka dan memperingatkan mereka akan suatu risiko.
Pengembang SmartTube, Yuriy Yuliskov, mengakui kunci digital miliknya dikompromikan akhir pekan lalu, yang menyebabkan masuknya malware ke dalam aplikasi.
Yuliskov mencabut tanda tangan lama dan mengatakan dia akan segera menerbitkan versi baru dengan ID aplikasi terpisah, dan mendesak pengguna untuk beralih ke versi tersebut.
SmartTube adalah salah satu klien YouTube pihak ketiga yang paling banyak diunduh untuk Android TV, Fire TV stick, Android TV box, dan perangkat serupa.
Popularitasnya berasal dari fakta bahwa ia gratis, dapat memblokir iklan, dan bekerja dengan baik pada perangkat dengan daya rendah.
Seorang pengguna yang direkayasa balik nomor versi SmartTube 30.51 yang dikompromikan menemukan bahwa itu menyertakan perpustakaan asli tersembunyi bernama libalphasdk.so[[Total Virus]. Pustaka ini tidak ada dalam kode sumber publik, sehingga sedang dimasukkan ke dalam versi rilis.
“Kemungkinan malware. File ini bukan bagian dari proyek saya atau SDK apa pun yang saya gunakan. Kehadirannya di APK tidak terduga dan mencurigakan. Saya menyarankan agar berhati-hati hingga asal-usulnya diverifikasi,” memperingatkan Yuliskov di thread GitHub.
Pustaka berjalan secara diam-diam di latar belakang tanpa interaksi pengguna, mengambil sidik jari perangkat host, mendaftarkannya dengan backend jarak jauh, dan secara berkala mengirimkan metrik dan mengambil konfigurasi melalui saluran komunikasi terenkripsi.
Semua ini terjadi tanpa indikasi yang terlihat oleh pengguna. Meskipun tidak ada bukti aktivitas jahat seperti pencurian akun atau partisipasi dalam botnet DDoS, risiko mengaktifkan aktivitas tersebut kapan saja cukup tinggi.
Meskipun pengembang mengumumkan di Telegram rilis versi beta yang aman dan pengujian stabil, mereka belum mencapai repositori resmi GitHub proyek.
Selain itu, pengembang belum memberikan rincian lengkap tentang apa yang sebenarnya terjadi, sehingga menimbulkan masalah kepercayaan di masyarakat.
Yuliskov dijanjikan untuk mengatasi semua kekhawatiran setelah rilis final aplikasi baru diluncurkan ke toko F-Droid.
Sampai pengembang secara transparan mengungkapkan semua poin secara publik dalam pemeriksaan mayat yang terperinci, pengguna disarankan untuk tetap menggunakan versi lama yang diketahui aman, menghindari masuk dengan akun premium, dan mematikan pembaruan otomatis.
Pengguna yang terkena dampak juga disarankan untuk menyetel ulang sandi Akun Google mereka, memeriksa konsol akun mereka untuk akses tidak sah, dan menghapus layanan yang tidak mereka kenali.
Saat ini, belum jelas kapan tepatnya penyusupan tersebut terjadi atau versi SmartTube mana yang aman untuk digunakan. Satu pengguna dilaporkan bahwa Play Protect tidak menandai versi 30.19, sehingga tampak aman.
BleepingComputer telah menghubungi Yuliskov untuk mengetahui versi aplikasi SmartTube mana yang disusupi, dan dia menjawab sebagai berikut:
“Beberapa versi lama yang muncul di GitHub secara tidak sengaja disusupi karena malware yang ada di mesin pengembangan saya pada saat build tersebut dibuat. Segera setelah saya menyadari masalah ini pada akhir November, saya segera menghapus sistem dan membersihkan lingkungan, termasuk repositori GitHub.”
“Saya mengetahui masalah malware sekitar versi 30.47, namun seperti yang dilaporkan pengguna akhir-akhir ini, masalah tersebut dimulai sekitar versi 30.43. Jadi, menurut pemahaman saya, versi yang disusupi adalah: 30.43-30.47.”
“Setelah membersihkan lingkungan, beberapa build dirilis menggunakan kunci sebelumnya (disiapkan pada sistem bersih), tetapi mulai versi 30.55 dan seterusnya saya beralih ke kunci baru untuk keamanan penuh. Hash yang berbeda untuk 30.47 Stable v7a kemungkinan besar merupakan hasil dari upaya memulihkan build tersebut setelah membersihkan sistem yang terinfeksi.”
Pembaruan 12/2 – Menambahkan komentar dan informasi pengembang.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
