Το δημοφιλές πρόγραμμα-πελάτη YouTube ανοιχτού κώδικα SmartTube για Android TV παραβιάστηκε όταν ένας εισβολέας απέκτησε πρόσβαση στα κλειδιά υπογραφής του προγραμματιστή, με αποτέλεσμα να προωθηθεί μια κακόβουλη ενημέρωση στους χρήστες.
Ο συμβιβασμός έγινε γνωστός όταν πολλοί χρήστες ανέφεραν ότι το Play Protect, η ενσωματωμένη μονάδα προστασίας από ιούς του Android, απέκλεισε το SmartTube στις συσκευές τους και τους προειδοποίησε για κίνδυνο.
Ο προγραμματιστής του SmartTube, Yuriy Yuliskov, παραδέχτηκε ότι τα ψηφιακά του κλειδιά συμβιβάστηκαν στα τέλη της περασμένης εβδομάδας, που οδήγησε στην έγχυση κακόβουλου λογισμικού στην εφαρμογή.
Ο Γιουλίσκοφ ανακάλεσε την παλιά υπογραφή και είπε ότι θα δημοσιεύσει σύντομα μια νέα έκδοση με ξεχωριστό αναγνωριστικό εφαρμογής, προτρέποντας τους χρήστες να μετακινηθούν σε αυτό.
Το SmartTube είναι ένα από τα προγράμματα-πελάτες YouTube τρίτων κατασκευαστών με τις περισσότερες λήψεις για τηλεοράσεις Android, Fire TV sticks, κουτιά Android TV και παρόμοιες συσκευές.
Η δημοτικότητά του προέρχεται από το γεγονός ότι είναι δωρεάν, μπορεί να αποκλείσει διαφημίσεις και έχει καλή απόδοση σε συσκευές με χαμηλή ισχύ.
Ένας χρήστης που αντίστροφη μηχανική η παραβιασμένη έκδοση SmartTube με αριθμό 30.51 διαπίστωσε ότι περιλαμβάνει μια κρυφή εγγενή βιβλιοθήκη με το όνομα libalphasdk.so [VirusTotal]. Αυτή η βιβλιοθήκη δεν υπάρχει στον δημόσιο πηγαίο κώδικα, επομένως εισάγεται σε εκδόσεις εκδόσεων.
“Πιθανώς κακόβουλο λογισμικό. Αυτό το αρχείο δεν αποτελεί μέρος του έργου μου ή κάποιου SDK που χρησιμοποιώ. Η παρουσία του στο APK είναι απροσδόκητη και ύποπτη. Συνιστώ προσοχή μέχρι να επαληθευτεί η προέλευσή του.” προειδοποίησε ο Yuliskov σε ένα νήμα του GitHub.
Η βιβλιοθήκη εκτελείται αθόρυβα στο παρασκήνιο χωρίς αλληλεπίδραση με τον χρήστη, λαμβάνει δακτυλικά αποτυπώματα στη συσκευή υποδοχής, την καταχωρεί με ένα απομακρυσμένο backend και περιοδικά στέλνει μετρήσεις και ανακτά τη διαμόρφωση μέσω ενός κρυπτογραφημένου καναλιού επικοινωνίας.
Όλα αυτά γίνονται χωρίς καμία ορατή ένδειξη στον χρήστη. Αν και δεν υπάρχουν στοιχεία για κακόβουλη δραστηριότητα, όπως κλοπή λογαριασμού ή συμμετοχή σε botnet DDoS, ο κίνδυνος ενεργοποίησης τέτοιων δραστηριοτήτων ανά πάσα στιγμή είναι υψηλός.
Αν και το ανακοίνωσε ο προγραμματιστής στο Telegram με την κυκλοφορία ασφαλών εκδόσεων beta και σταθερών δοκιμαστικών εκδόσεων, δεν έχουν φτάσει ακόμα στο επίσημο αποθετήριο GitHub του έργου.
Επίσης, ο προγραμματιστής δεν έχει παράσχει πλήρεις λεπτομέρειες για το τι ακριβώς συνέβη, γεγονός που έχει δημιουργήσει προβλήματα εμπιστοσύνης στην κοινότητα.
Γιουλίσκοφ υποσχέθηκε για να αντιμετωπίσετε όλες τις ανησυχίες μόλις προωθηθεί η τελική κυκλοφορία της νέας εφαρμογής στο κατάστημα F-Droid.
Μέχρι ο προγραμματιστής να αποκαλύψει με διαφάνεια όλα τα σημεία δημόσια σε μια λεπτομερή μεταθανάτια εξέταση, συνιστάται στους χρήστες να παραμείνουν σε παλαιότερες, γνωστές ως ασφαλείς εκδόσεις, να αποφεύγουν τη σύνδεση με λογαριασμούς premium και να απενεργοποιούν τις αυτόματες ενημερώσεις.
Συνιστάται επίσης στους επηρεαζόμενους χρήστες να επαναφέρουν τους κωδικούς πρόσβασης του Λογαριασμού τους Google, να ελέγξουν την κονσόλα του λογαριασμού τους για μη εξουσιοδοτημένη πρόσβαση και να καταργήσουν υπηρεσίες που δεν αναγνωρίζουν.
Προς το παρόν, δεν είναι σαφές πότε ακριβώς συνέβη ο συμβιβασμός ή ποιες εκδόσεις του SmartTube είναι ασφαλείς για χρήση. Ένας χρήστης αναφέρθηκε ότι το Play Protect δεν επισημαίνει την έκδοση 30.19, επομένως φαίνεται ασφαλές.
Το BleepingComputer επικοινώνησε με τον Yuliskov για να προσδιορίσει ποιες εκδόσεις της εφαρμογής SmartTube παραβιάστηκαν, αλλά δεν έχει υπάρξει ακόμη ένα σχόλιο.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
