Der Entwickler von SmartTube, einer der meistgenutzten alternativen YouTube-Clients für Android TV und Fire TV, hat einen schwerwiegenden Sicherheitsvorfall eingeräumt. Yuriy Yuliskov bestätigte, dass sein Entwicklungsrechner Ende November mit Malware infiziert wurde. Dadurch gelangte schadhafter Code in offizielle Versionen der App, die über die GitHub-Seite des Projekts verbreitet wurden.
Betroffen sind mindestens die Versionen 30.43 bis 30.47, die im November veröffentlicht wurden. Eine Reverse-Engineering-Analyse deckte eine verdächtige Bibliothek namens „libalphasdk.so“ auf, die nicht im öffentlichen Quellcode existiert. Diese läuft unsichtbar im Hintergrund, erfasst Gerätedaten und kommuniziert verschlüsselt mit einem externen Server. Welche konkreten Schadfunktionen die Malware besitzt, ist bislang unklar. Es gibt jedoch keine Hinweise auf Kontodiebstahl oder die Teilnahme an DDoS-Angriffen.
Google Play Protect und Amazon haben die kompromittierte App auf betroffenen Geräten automatisch deinstalliert. Dies war offenbar nicht nur auf die kompromittierten Signaturschlüssel zurückzuführen, sondern auf die erkannte Malware selbst. SmartTube ist wegen seiner kostenlosen Werbeblockierung und guten Performance auf schwächerer Hardware besonders beliebt.
Yuliskov hat mittlerweile seinen Entwicklungsrechner neu aufgesetzt und ab Version 30.56 eine neue digitale Signatur verwendet. Alle älteren Versionen wurden aus dem GitHub-Repository entfernt. Wenn ihr die App nutzt, solltet ihr folgende Schritte unternehmen:
- Deinstalliert alle älteren SmartTube-Versionen
- Setzt betroffene Geräte im Idealfall auf Werkseinstellungen zurück
- Überprüft eure Google-Kontoberechtigungen unter myaccount.google.com/connections
- Kontrolliert eure YouTube-Aktivitäten auf Unregelmäßigkeiten
- Installiert anschließend nur die neueste Version 30.56 oder höher
via AFTVNews