人気のオープンソースYouTubeクライアント「SmartTube」(Android TV向け)が、攻撃者によって開発者の署名鍵を奪われたことで侵害され、ユーザーに対して悪意あるアップデートが配信されました。
この侵害は、複数のユーザーが、Androidに標準搭載されているウイルス対策モジュール「Play プロテクト」が自分の端末上のSmartTubeをブロックし、リスクを警告していると報告したことで明らかになりました。
SmartTubeの開発者であるYuriy Yuliskov氏は、先週末、自身のデジタル鍵が侵害されたことを認め、それによりアプリにマルウェアが注入されたと説明しました。
Yuliskov氏は旧署名を失効させ、別のアプリIDを用いた新バージョンをまもなく公開するとし、ユーザーにそちらへ移行するよう呼びかけています。
SmartTubeは、Android TV、Fire TVスティック、Android TVボックスなどのデバイス向けに提供されている、最も広くダウンロードされているサードパーティ製YouTubeクライアントの一つです。
無料で利用でき、広告をブロックできることに加え、非力なデバイスでも快適に動作することが人気の理由です。
侵害されたSmartTubeバージョン30.51をリバースエンジニアリングしたユーザーは、その中に「libalphasdk.so」という名前の隠しネイティブライブラリが含まれていることを発見しました(VirusTotal)。このライブラリは公開されているソースコードには存在せず、リリースビルドに注入されているとみられます。
「おそらくマルウェアです。このファイルは私のプロジェクトや、私が使用しているいかなるSDKの一部でもありません。APK内に存在すること自体が予期せぬものであり、不審です。その出所が確認されるまでは注意することを推奨します」と、Yuliskov氏はGitHubスレッドで警告しています。
このライブラリはユーザーの操作なしにバックグラウンドで静かに動作し、ホストデバイスのフィンガープリントを採取し、リモートのバックエンドに登録し、暗号化された通信チャネルを通じて定期的にメトリクスを送信し、設定情報を取得します。
これらはすべて、ユーザーに目に見える形で通知されることなく行われます。アカウント窃取やDDoSボットネットへの参加といった悪意ある活動が実際に行われた証拠は今のところありませんが、そのような活動をいつでも可能にしてしまうリスクは高い状態です。
開発者はTelegram上で、安全なベータ版および安定版テストビルドのリリースを発表しましたが、これらはまだプロジェクトの公式GitHubリポジトリには反映されていません。
また、開発者は何が起きたのかについての詳細を十分に明らかにしておらず、コミュニティ内で信頼性への懸念が生じています。
Yuliskov氏は、新アプリの最終版がF-Droidストアに公開された後に、すべての懸念点に対応することを約束しました。
開発者が詳細なポストモーテム(事後分析)で、すべてのポイントを透明性をもって公表するまでは、ユーザーは既知の安全な古いビルドを使い続け、プレミアムアカウントでのログインを避け、自動アップデートをオフにしておくことが推奨されます。
影響を受けた可能性のあるユーザーは、Googleアカウントのパスワードをリセットし、アカウントコンソールで不審なアクセスがないか確認し、身に覚えのないサービスを削除することも推奨されます。
現時点では、いつ侵害が発生したのか、またSmartTubeのどのバージョンが安全に利用できるのかは正確には分かっていません。あるユーザーは、バージョン30.19についてはPlay プロテクトが警告を出さないと報告しており、安全であるように見えます。
BleepingComputerは、どのバージョンのSmartTubeアプリが侵害されたのかを確認するためにYuliskov氏に連絡を取っていますが、現時点ではコメントは得られていません。
