De open-source YouTube-app SmartTube, die op heel wat Android-tv’s en tv-boxen geïnstalleerd staat, is recent gehackt en besmet met malware.

Aanvallers konden de hand leggen op de digitale handtekening van de app, waardoor ze aangepaste builds officieel konden ondertekenen en verspreiden. De getroffen versies zijn intussen offline gehaald en er is een nieuwe, veilige release beschikbaar. Op GitHub legt de ontwikkelaar uit dat een onbekende aanvaller erin geslaagd is om de private sleutel van SmartTube te bemachtigen. Met die sleutel konden schadelijke wijzigingen ongemerkt worden toegevoegd aan de app. Het gaat specifiek om versies 30.43 en 30.47.

De malware zat verstopt in de bibliotheek libalphasdk.so en verzamelde gegevens zoals toestelinfo, geïnstalleerde apps en IP-adressen. Uit analyses blijkt dat er geen accountgegevens zijn buitgemaakt, al was de malware wel in staat om opdrachten van de aanvallers te ontvangen. Gelukkig konden Googles beveiligingsmechanismen (vooral Play Protect) het grootste deel van de besmette installaties tijdig blokkeren. Daardoor bleef de schade voor veel gebruikers beperkt, nog voor ze zelf doorhadden dat er iets misliep.

Wat SmartTube-gebruikers nu moeten doen

Ontwikkelaar Yuliskov heeft de app tijdelijk offline gehaald en verspreidt via Telegram een nieuwe bètaversie die met een nieuw sleutelcertificaat is ondertekend. De oude, gecompromitteerde handtekening is ongeldig verklaard. Als je SmartTube gebruikt (hebt) op je smart-tv, dan verwijder je die app best volledig. Herstel ook geen oude back-ups, want oude instellingen kunnen besmette componenten bevatten.

Installeer de nieuwe, veilige release. Versie 30.56 staat klaar via de officiële GitHub-pagina of het geverifieerde Telegram-kanaal van de ontwikkelaar. Pas ook op voor valse updates. Installeer geen zogezegde ‘fixes’ of onofficiële varianten van onbekende bronnen. Omdat SmartTube niet in de Play Store staat, moet de app altijd via sideloading worden geïnstalleerd. Dat omzeilt Googles beveiligingscontroles en verhoogt automatisch het risico op malware. Deze aanval toont aan dat zelfs populaire open-source projecten kwetsbaar blijven voor gerichte hacks.