האפליקציה הפופולרית SmartTube בקוד פתוח, שנמצאת בלא מעט טלוויזיות אנדרואיד, נפרצה לזמן קצר והושתלה בה נוזקה. התוקפים שמו את ידם על מפתח החתימה של האפליקציה ובאמצעותו הצליחו להפיץ גרסאות מזויפות של אפליקציית היוטיוב שנראות כמו הרשמיות. הגרסאות הנגועות כבר הוסרו מהאוויר ובמקומן הושקה גרסה חדשה ובטוחה לשימוש.
איך הצליחו להחדיר נוזקה ?
המפתח של SmartTube פרסם פוסט ב- GitHub שבו הוא הסביר שמישהו זר הצליח להשיג את המפתח הפרטי של החתימה הדיגיטלית של האפליקציה. בעזרת המפתח הזה, ניתן היה להתקין נוזקות בסתר בגרסאות 30.43 ו- 30.47 של האפליקציה, מבלי שהצוות שמפתח את האפליקציה ישים לב לזה.
כך הוא רשם: "חברים, נראה שהחתימה הדיגיטלית שלי נחשפה. חתימה זו מגנה על האפליקציה מפני עדכונים מזויפים וזדוניים, כך שקיים סיכון שמישהו ינסה לשחרר גרסאות מזויפות תחת שמי. כדי לנטרל חסל לחלוטין כל איום, החלטתי להפסיק להשתמש בחתימה הנוכחית ולעבור לחתימה חדשה. מסיבה זו, גם מזהה האפליקציה ישתנה. אינכם צריכים למחוק את האפליקציה הישנה (אך היא לא תקבל עוד עדכונים) – האפליקציה החדשה תותקן כאפליקציה נפרדת ויהיה צורך להגדיר אותה מחדש. תודה על ההבנה ועל תשומת הלב לאבטחה".
הנוזקה אותרה בתוך ספרייה בשם "libalphasdk.so" ואספה מידע ופרטים שונים מהמכשיר, מהאפליקציות המותקנות בו, את כתובת ה- IP שלו ופרטים טכניים נוספים. מבדיקות שנערכו עולה כי פרטי חשבון לא נגנבו, אבל כן נמצא שהאפליקציה הייתה מסוגלת לקבל הוראות עתידיות מהתוקפים, מה שהיה עלול לסכן את המשתמשים בהמשך.
מנגנוני ההגנה של גוגל ובעיקר Play Protect הם אלה שזיהו את הנוזקה וחסמו את ההתקנות בזמן. במקרים מסוימים, זיהוי הנוזקה בזמן גם מנע נזק עוד לפני שהמשתמשים ידעו עליה.
מה משתמשי SmartTube צריכים לעשות עכשיו ?
משתמשים שנפגעו צריכים להסיר גרסאות שעלולות להכיל את הנוזקה, לא לשחזר גיבויים או הגדרות ישנות של האפליקציה ולהתקין רק את הגרסה החדשה והמאובטחת (30.56) שמופצת בערוצים הרשמיים של המפתח – GitHub או בערוץ הטלגרם המאומת שלו.
יש להיזהר מכל מיני "עדכונים" מזויפים או גרסאות לא רשמיות שמסתובבות ברשת. מפני שאפליקציית SmartTube לא נמצאת בחנות האפליקציות של גוגל וצריך להוריד אותה מכל מיני מקורות לא מוכרים, היא עוקפת את כל בדיקות האבטחה השגרתיות, מה שמעלה את הסיכוי להורדת גרסה נגועה.
