安卓電視YouTube客戶端SmartTube遭入侵 惡意更新強制推送

安卓電視平臺的開源YouTube客戶端SmartTube已確認遭入侵——攻擊者獲取開發者的數字簽名密鑰后，向用戶推送了包含惡意代碼的更新包。

此次安全事件由多名用戶反饋發現：安卓內置殺毒模塊Google Play Protect在部分設備上攔截了SmartTube，并向用戶發出安全風險警示。

SmartTube開發者證實，其數字簽名密鑰于上周末被盜，導致惡意軟件被注入應用程序。目前已吊銷舊簽名，并表示將盡快發布采用獨立應用ID的新版本，同時敦促用戶升級至該安全版本。

作為安卓電視、Fire TV、安卓電視盒等設備上下載量最高的第三方YouTube客戶端之一，SmartTube的流行源于其免費屬性、廣告攔截功能，以及在低性能設備上的流暢運行表現。

一名逆向工程師對遭入侵的30.51版本進行分析后發現，該版本包含一個名為libalphasdk.so的隱藏原生庫（[病毒總數平臺檢測鏈接]）。由于該庫未出現在公開源代碼中，推測是在發布構建過程中被惡意注入。

開發者表示：“這很可能是一款惡意軟件。該文件并非所使用SDK的組成部分，其出現在APK安裝包中完全出乎意料且存在高度可疑性。在核實其來源前，建議用戶保持警惕。”

經分析，該惡意庫會在后臺靜默運行，無需用戶交互即可完成設備指紋采集、向遠程服務器注冊設備，并通過加密通信通道定期發送設備指標數據及獲取配置指令。盡管目前尚未發現賬號盜竊、參與DDoS僵尸網絡等惡意行為，但攻擊者可隨時利用該模塊發起此類攻擊，潛在風險極高。

盡管開發者已在Telegram宣布發布安全測試版及穩定測試版，但這些版本尚未同步至項目官方GitHub倉庫。此外，開發者未披露事件完整細節，引發用戶信任危機。SmartTube表示，待新版應用正式上架F-Droid應用商店后，將全面回應所有關問題。

在開發者通過詳細事后分析報告公開披露全部事件細節前，安全專家建議用戶：保持使用經驗證安全的舊版本、避免登錄高級賬戶、關閉自動更新功能；受影響用戶應重置Google賬戶密碼，檢查賬戶控制臺是否存在未授權訪問記錄，并移除陌生關聯服務。

為確保完全安全，SmartTube已從30.55版本起已切換至新簽名密鑰。30.47 Stable v7a版本出現不同哈希值，可能是在清理受感染系統后嘗試恢復該版本所致。

參考及來源：https://www.bleepingcomputer.com/news/security/smarttube-youtube-app-for-android-tv-breached-to-push-malicious-update/