Der YouTube-Client SmartTube für Android-TV war temporär kompromittiert. Angreifer konnten in die Entwicklung eingreifen, Schadcode in der App platzieren und diese über ein Update an Nutzer verteilen. Mittlerweile ist die Version offline und der Entwickler nimmt Stellung.
Wer die App installiert hat, sollte sie aus Sicherheitsgründen vorerst deinstallieren und auf die bereits angekündigte neue Version warten.
Auf GitHub teilt der Entwickler in einem Beitrag mit, dass ein Unbekannter Zugriff auf seinen privaten Schlüssel zum Signieren der App hatte. Damit ausgerüstet konnte er die mit Malware versehene App im Namen des Entwicklers signieren und somit als legitim aussehend in Umlauf bringen.
Doch Googles Schutzmechanismus Play Protect schlug bei einigen Nutzern an und blockierte die kompromittierte App. Einer der Betroffenen erstellte dann bei GitHub ein Bug-Ticket und schnell fanden sich weitere Opfer.
Es gibt bereits eine erste Analyse des Schadcodes. Der Code findet sich in der Bibliothek libalphasdk.so. Zum jetzigen Zeitpunkt funkt die App damit unter anderem Metriken an einen Server. Es gibt aber bislang noch keine Hinweise auf das Mitschneiden von Accountdaten oder DDoS-Aktivitäten. Das kann sich aber jederzeit ändern, da die manipulierte App den Analysen zufolge Anweisungen von den Angreifern empfangen kann.
Zwischenzeitlich hat sich auch der Entwickler in den GitHub-Thread eingeklinkt und klärt weitere Hintergründe auf. Er gibt an, die App vorerst offline genommen zu haben. Auf Telegram verteilt er bereits eine Beta-Version, welche mit einem neuen Schlüssel signiert ist. Die mit dem gestohlenen Schlüssel erstellte Signatur hat er mittlerweile als ungültig eingestuft.
Wenn die Entwicklung abgeschlossen ist, will er weitere Hintergründe zum Vorfall bekannt geben. Etwa, wie der Schlüssel abhandengekommen ist. Unklar ist zurzeit, ab welcher Version der Schadcode Einzug gehalten hat.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare