L'application open source SmartTube, très populaire pour regarder YouTube sans publicités sur les téléviseurs connectés, a été compromise. Plusieurs versions officielles contenaient un malware, et Google comme Amazon ont désinstallé l'app à distance sur certains appareils.
Un ordinateur de développement infecté
Le développeur de SmartTube, Yuriy Yuliskov, a confirmé fin novembre que son ordinateur utilisé pour compiler les versions officielles de l'application avait été infecté par un malware. Les versions 30.43 à 30.47, publiées courant novembre, contenaient un fichier malveillant baptisé libalphasdk.so, injecté à l'insu du développeur. Ce composant collectait des informations sur l'appareil, les applications installées et les adresses IP, puis les transmettait à un serveur distant via un canal chiffré. Selon les analyses, le malware pouvait potentiellement transformer l'appareil en nœud de sortie VPN ou l'intégrer à un botnet.
Face à cette compromission, Google Play Protect a automatiquement détecté et bloqué les versions infectées sur les appareils équipés d'Android TV. Amazon a fait de même sur les Fire TV Stick. Dans certains cas, l'application a été désinstallée à distance sans intervention de l'utilisateur. Le développeur a depuis nettoyé son système, révoqué les anciennes clés de signature et publié une version corrigée, la 30.56, compilée sur un environnement sain avec une nouvelle signature numérique.
Que faire si vous utilisez SmartTube
Si vous avez installé SmartTube en novembre, il est recommandé de désinstaller l'application et de la réinstaller uniquement dans sa version 30.56 ou ultérieure. Les utilisateurs les plus prudents peuvent envisager une réinitialisation de leur appareil, même si le sandboxing d'Android limite les risques de propagation. Il est également conseillé de vérifier l'activité de votre compte Google et YouTube pour repérer d'éventuelles connexions ou modifications suspectes. L'application demandait des permissions d'accès au compte YouTube, ce qui justifie cette vigilance.
On en dit quoi ?
On voit bien que même les projets open source ne sont pas à l'abri. SmartTube est une application appréciée pour contourner les publicités de YouTube, mais son installation en dehors du Play Store implique forcément des risques. Ici, ce n'est pas l'application elle-même qui était malveillante, mais l'ordinateur du développeur qui a été piraté, un scénario classique de supply chain attack. Difficile de ne pas remarquer que Google et Amazon ont eu la main lourde en désinstallant l'app à distance, mais pour une fois, c'était justifié.
