SmartTube, popularna alternativna aplikacija za gledanje YouTubea i drugih streamova na Android TV uređajima — često cijenjena upravo zato što uklanja oglase — neočekivano se pretvorila u sigurnosni problem. Korisnici su posljednjih dana počeli prijavljivati da je Google Play Protect počeo blokirati aplikaciju označivši je kao “lažnu” i potencijalno opasnu, što je odmah izazvalo paniku. Ubrzo se oglasio i sam developer te otkrio što se zapravo dogodilo.
Naime, developer SmartTubea potvrdio je da je njegov digitalni potpis kompromitiran. To znači da je netko mogao iskoristiti njegovu originalnu developersku vjerodajnicu kako bi objavio lažnu verziju aplikacije – potpuno valjanu s Googleove perspektive – ali s malicioznim sadržajem. Zbog toga se odlučio odreći starog potpisa i prijeći na novi. No time je morao promijeniti i identifikator aplikacije, što u Android svijetu automatski znači: stara verzija je mrtva, nikakvih ažuriranja više neće biti, a korisnici moraju instalirati novu aplikaciju praktički kao da je potpuno drugi program.
Kada je treća strana analizirala verziju 30.51 koju je Google Play Protect blokirao, potvrđeno je da sumnje nisu bile bez osnove. U toj verziji nalazila se skrivena biblioteka nazvana libalphasdk.so. Ona je kontaktirala udaljeni server svaki put kad bi se SmartTube pokrenuo, prikupljala detaljne informacije o uređaju (verzija Androida, mrežni operater, vrsta mreže i druge identifikacijske podatke), a uz to je mogla primiti dodatne upute iz interneta — bez ikakve interakcije korisnika.
Razlog kompromitacije leži u developerovom vlastitom računalu. Prema njegovim riječima, PC na kojem je kompajlirao APK-ove bio je zaražen malwareom. Upravo je taj zlonamjerni softver najvjerojatnije injektirao spornu biblioteku u određene verzije SmartTubea, zbog čega ih je Play Protect i počeo označavati kao prijetnju. Računalo je u međuvremenu očišćeno, a novi digitalni potpis trebao bi garantirati sigurnost budućih buildova. No korisnici koji su instalirali kompromitirane verzije trebaju učiniti jednu stvar: obrisati staru aplikaciju odmah.
Cijeli incident još jednom pokazuje koliko je ekosustav Android aplikacija osjetljiv, pogotovo kad se radi o open-source projektima i aplikacijama koje se sideloadaju. Google nedavno pooštrava pravila sideloadinga i pokušava centralizirati provjeru identiteta developera, ali ovaj slučaj otkriva rupe u sustavu: ako se kompromitira developerov potpis, nijedna Play Protect politika ne može spriječiti da maliciozni update završi na uređajima korisnika.
SmartTube se sada vraća na noge s novim potpisom i “čistom” verzijom, ali pouka ostaje ista — čak i kod omiljenih, open-source aplikacija, dovoljno je da jedno računalo bude zaraženo pa da cijela zajednica završi u problemu.
