Android TV için popüler açık kaynaklı SmartTube YouTube istemcisinin güvenliği, bir saldırganın geliştiricinin imzalama anahtarlarına erişim sağlaması ve kullanıcılara kötü amaçlı bir güncelleme gönderilmesine yol açmasıyla tehlikeye girdi.
Bu uzlaşma, birden fazla kullanıcının Android’in yerleşik antivirüs modülü Play Protect’in cihazlarında SmartTube’u engellediğini ve onları bir risk konusunda uyardığını bildirmesiyle ortaya çıktı.
SmartTube’un geliştiricisi Yuriy Yuliskov, geçen hafta sonlarında dijital anahtarlarının ele geçirildiğini ve bunun da uygulamaya kötü amaçlı yazılım bulaşmasına yol açtığını itiraf etti.
Yuliskov eski imzayı iptal etti ve yakında ayrı bir uygulama kimliğine sahip yeni bir sürüm yayınlayacağını söyleyerek kullanıcıları bunun yerine ona geçmeye çağırdı.
SmartTube, Android TV’ler, Fire TV çubukları, Android TV kutuları ve benzeri cihazlar için en çok indirilen üçüncü taraf YouTube istemcilerinden biridir.
Popülerliği, ücretsiz olması, reklamları engelleyebilmesi ve gücü yetersiz cihazlarda iyi performans göstermesinden kaynaklanmaktadır.
Güvenliği ihlal edilen 30.51 numaralı SmartTube sürüm numarasına tersine mühendislik uygulayan bir kullanıcı, bunun libalphasdk.so adında gizli bir yerel kitaplık içerdiğini buldu. [VirusTotal]. Bu kitaplık genel kaynak kodunda mevcut olmadığından sürüm yapılarına enjekte ediliyor.
GitHub başlığında Yuliskov, “Muhtemelen kötü amaçlı bir yazılım. Bu dosya projemin veya kullandığım herhangi bir SDK’nın parçası değil. APK’daki varlığı beklenmedik ve şüpheli. Kaynağı doğrulanana kadar dikkatli olmanızı öneririm” diye uyardı.
Kitaplık, kullanıcı etkileşimi olmadan arka planda sessizce çalışır, ana cihazın parmak izlerini alır, uzak bir arka uca kaydeder ve şifreli bir iletişim kanalı aracılığıyla periyodik olarak metrikler gönderir ve yapılandırmayı alır.
Bütün bunlar kullanıcıya herhangi bir görünür belirti olmadan gerçekleşir. Hesap hırsızlığı veya DDoS botnet’lerine katılım gibi kötü niyetli faaliyetlere dair bir kanıt bulunmamakla birlikte, bu tür faaliyetlerin herhangi bir zamanda etkinleştirilme riski yüksektir.
Geliştirici Telegram’da güvenli beta ve kararlı test yapılarının yayınlandığını duyurmasına rağmen bunlar henüz projenin resmi GitHub deposuna ulaşmadı.
Ayrıca geliştirici, toplulukta güven sorunları yaratan tam olarak ne olduğuna dair tam ayrıntı vermedi.
Yuliskov, yeni uygulamanın son sürümü F-Droid mağazasına gönderildiğinde tüm endişeleri gidereceğine söz verdi.
Geliştirici, detaylı bir otopsi ile tüm noktaları şeffaf bir şekilde kamuya açıklayana kadar, kullanıcıların daha eski, güvenli olduğu bilinen yapılarda kalmaları, premium hesaplarla giriş yapmaktan kaçınmaları ve otomatik güncellemeleri kapatmaları öneriliyor.
Etkilenen kullanıcıların ayrıca Google Hesabı şifrelerini sıfırlamaları, hesap konsollarında yetkisiz erişim olup olmadığını kontrol etmeleri ve tanımadıkları hizmetleri kaldırmaları önerilir.
Şu anda, güvenlik ihlalinin tam olarak ne zaman gerçekleştiği veya SmartTube’un hangi sürümlerinin kullanımının güvenli olduğu belli değil. Bir kullanıcı Play Protect’in 30.19 sürümünü işaretlemediğini, dolayısıyla güvenli göründüğünü bildirdi.
BleepingComputer, SmartTube uygulamasının hangi sürümlerinin ele geçirildiğini belirlemek için Yuliskov ile temasa geçti ancak henüz bir yorum yapılmadı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.