安卓电视 YouTube 客户端 SmartTube 遭入侵 恶意更新强制推送

Android TV 平台的开源YouTube 客户端SmartTube 已被确认已被泄露。 ——攻击者获得开发者数字签名密钥后，向用户推送包含恶意代码的更新包。

此次安全事件是经多位用户反馈发现的：Android内置防病毒模块Google Play Protect在部分设备上屏蔽了SmartTube，并向用户发出安全风险警告。

SmartTube 的开发者证实其数字签名密钥在周末被盗，导致恶意软件被注入到该应用程序中。旧签名已被撤销，将尽快发布具有独立应用程序ID的新版本，并敦促用户升级到此安全版本。

作为Android TV、Fire TV、Android TV 盒子等设备上下载次数最多的第三方YouTube 客户端之一，SmartTube 的受欢迎源于其免费性质、广告拦截功能以及在低性能设备上的流畅运行性能。

逆向工程师分析了受感染的版本30.51，发现该版本包含一个名为libalphasdk.so 的隐藏本机库（[病毒总平台检测链接]）。由于该库没有出现在公开源代码中，因此推测它是在发布构建过程中被恶意注入的。

开发者表示：“这很可能是恶意软件。该文件不是所使用的SDK 的一部分。它出现在APK 安装包中完全出乎意料，并且高度可疑。建议用户在验证其来源之前保持警惕。”

经过分析，恶意库会在后台静默运行，完成设备指纹采集，无需用户交互即可将设备注册到远程服务器，并通过加密通信通道定期发送设备指标数据和获取配置指令。虽然账号盗用、参与DDoS僵尸网络等恶意行为尚未被发现，但攻击者随时可以利用该模块发起此类攻击，潜在风险极高。

尽管开发者已经宣布在Telegram 上发布安全测试版和稳定测试版，但这些版本尚未同步到该项目的官方GitHub 存储库。此外，开发商并未透露事件的完整细节，引发了用户的信任危机。 SmartTube表示，新版本应用程序在F-Droid应用商店正式上线后，将全面回复所有相关问题。

在开发者通过详细的事后分析报告公开披露事件的全部细节之前，安全专家建议用户：继续使用已验证安全的旧版本，避免登录高级帐户，并关闭自动更新功能；受影响的用户应重置其Google帐户密码，检查帐户控制台是否有未经授权的访问记录，并删除不熟悉的关联服务。

为了确保完全的安全性，SmartTube 从版本30.55 开始已切换到新的签名密钥。 30.47 Stable v7a 版本具有不同的哈希值，这可能是由于在清理受感染的系统后尝试恢复该版本而导致的。