SmartTube postao bezbjednosni problem: otkriven kompromitovan digitalni potpis

SmartTube, popularna alternativa za gledanje YouTube sadržaja na Android TV uređajima — često hvaljena zbog uklanjanja reklama — iznenada se našla u centru bezbjednosnog incidenta. Posljednjih dana korisnici su prijavili da je Google Play Protect počeo blokirati aplikaciju, označavajući je kao „lažnu“ i potencijalno opasnu, što je odmah izazvalo paniku. Ubrzo se oglasio i sam developer i objasnio šta se zapravo desilo.

 

Kompromitovan potpis i prelazak na novi identitet aplikacije

 

Developer SmartTube-a potvrdio je da je njegov digitalni potpis kompromitovan. To znači da je neko mogao iskoristiti njegove legitimne developerske akreditive i objaviti lažnu, malicioznu verziju aplikacije — potpuno validnu iz Googleove perspektive. Zbog toga je odlučio da napusti stari potpis i pređe na novi. Međutim, ta promjena zahtijevala je i novi identifikator aplikacije, što u Android svijetu podrazumijeva da je stara verzija „mrtva“, bez budućih ažuriranja, i da korisnici moraju ručno instalirati novu kao potpuno odvojenu aplikaciju.

 

Otkrivena maliciozna biblioteka u verziji 30.51

 

Kada je treća strana analizirala verziju 30.51 — onu koju je Play Protect blokirao — potvrđene su sumnje. U aplikaciji je pronađena skrivena biblioteka libalphasdk.so. Ona se povezivala sa udaljenim serverom svaki put kada bi se SmartTube pokrenuo, prikupljala detaljne podatke o uređaju (verzija Androida, operater, tip mreže i drugi identifikatori) i mogla primati dodatne instrukcije sa interneta — sve bez znanja korisnika.

 

Zaraženi kompjuter developera izvor problema

 

Prema razvojnom timu, problem potiče sa samog računara na kojem su kompajlirane APK datoteke. Taj računar bio je zaražen malverom koji je najvjerovatnije ubacivao spornu biblioteku u određene verzije SmartTube-a, zbog čega je Play Protect počeo da ih označava kao prijetnju. Računar je očišćen, a novi digitalni potpis bi trebalo da garantuje sigurnije buduće verzije. Ipak, korisnicima koji su instalirali kompromitovane verzije preporučuje se samo jedno: odmah obrisati staru aplikaciju.

 

Lekcija za Android eko sistem

 

Incident ponovo pokazuje koliko je Android eko sistem ranjiv, posebno kada su u pitanju open-source projekti i aplikacije instalirane van Play Store-a. Google posljednjih godina pooštrava pravila sideloadinga i uvodi strožu verifikaciju identiteta developera, ali ovaj slučaj otkriva ključni propust: ako je potpis developera kompromitovan, nijedna Play Protect politika ne može spriječiti da maliciozna verzija stigne do korisnika.

SmartTube je sada ponovo dostupan s novim potpisom i „čistim“ izdanjem, ali pouka ostaje ista — i najpouzdanije open-source aplikacije mogu biti ugrožene ako samo jedan računar u lancu bude zaražen.