SmartTube, una delle app open-source più utilizzate su Android TV per accedere a YouTube e ad altre piattaforme di streaming, è al centro di una vicenda delicata. Nei giorni scorsi Google Play Protect ha disattivato la versione precedentemente installata dopo aver individuato attività classificate come potenzialmente malevole. Secondo l’analisi del sistema di sicurezza di Google, l’app risultava in grado di eseguire operazioni che potevano compromettere il dispositivo o sottrarre dati sensibili. Il risultato è stato un blocco immediato e la necessità, per lo sviluppatore, di pubblicare una nuova app con un diverso identificatore.
La decisione è stata obbligata: la firma digitale usata per distribuire SmartTube è stata violata. Il creatore dell’app, noto come Yuriy L, ha spiegato che un attacco informatico è riuscito a sottrarre la chiave impiegata per generare gli aggiornamenti, permettendo ai criminali di caricare versioni modificate a suo nome. Per evitare ulteriori rischi, lo sviluppatore ha scelto di abbandonare del tutto la vecchia firma, generarne una nuova e ripubblicare l’app con un altro ID.
Perché le versioni compromesse sono pericolose
Un’analisi indipendente della release bloccata da Play Protect, la 30.51, conferma che non si è trattato di un falso allarme. All’interno del pacchetto era presente una libreria nascosta, chiamata libalphasdk.so, progettata per contattare un server remoto ogni volta che l’app veniva avviata. Il codice raccolgeva informazioni sensibili sul dispositivo, tra cui versione di Android, operatore di rete e tipo di connessione, e consentiva l’esecuzione remota di codice senza alcuna interazione dell’utente.
È importante ricordare che SmartTube non è distribuita tramite Play Store, ma i controlli di sicurezza di Google – come Play Protect – intervengono anche sulle app installate da sorgenti esterne. In questo caso, l’allerta si è rivelata fondata.
Lo sviluppatore attribuisce l’attacco a una compromissione del PC utilizzato per compilare gli APK destinati a GitHub. Dopo la formattazione della macchina e l’introduzione di una nuova firma digitale, le versioni più recenti risultano sicure. Chi ha installato una build manomessa rimane però esposto a rischi concreti: l’app con la vecchia firma non riceverà più aggiornamenti e andrebbe rimossa quanto prima dal dispositivo.
