Популярний відкритий YouTube-клієнт для Android TV — SmartTube — став жертвою зловмисників, які отримали доступ до підписних ключів розробника. У результаті з’явилося фальшиве оновлення, яке поширювалося під виглядом офіційного — багато користувачів отримали повідомлення від системи безпеки Google Play Protect, що додаток потенційно небезпечний, і його було заблоковано.
Розробник підтвердив компрометацію ключів та заявив, що стара версія більше не отримає оновлень — натомість буде випущено нову версію з новим цифровим підписом та іншим ідентифікатором.
Вияснилося, що заражені були збірки приблизно з версій 30.43–30.47; пізніші збірки, починаючи з 30.55, створені з чистого середовища та мають новий підпис.
Хоча наразі немає публічно підтвердженого факту зловживань (наприклад, викрадення облікових записів чи DDoS-активності), вбудована бібліотека могла тихо збирати дані про пристрій, передавати їх на віддалений сервер і потенційно в майбутньому використовуватись для шкідливих цілей.
SmartTube — один з найпопулярніших сторонніх клієнтів YouTube для Android TV, бо дозволяв блокувати рекламу, працювати навіть на слабких пристроях, мав розширені налаштування та зручності, недоступні в офіційному додатку.
Цей випадок демонструє, наскільки важливим є зберігання безпеки підписних ключів — компрометація одних ключів може підірвати довіру тисяч користувачів та відкрити шлях для масових атак.
Якщо ви користувалися SmartTube — одразу вимкніть автоматичні оновлення, перевірте версію: не використовуйте збірки 30.43–30.47. Найупевненіше — зачекайте на новий офіційний реліз з новим підписом або видаліть додаток. Будьте обережні з сторонніми APK та тримайте увімкненим Play Protect.
