SmartTube，YouTube的热门替代品，在开发者不知情的情况下分发恶意软件

Captura de pantalla de la interfaz de la aplicación SmartTube en una televisión Android TV, mostrando su reproductor de video y opciones de menú, con un símbolo de advertencia de seguridad superpuesto.

SmartTube，YouTube 的热门替代品，在开发者不知情的情况下分发恶意软件

Android TV 用户社区收到了一条令人震惊的消息。 SmartTube，这款广泛用于提供无广告体验和高级功能的 YouTube 客户端应用，卷入了一起严重的セキュリティ事件。外部攻击 compromised 了其分发渠道，导致数千设备在创建者不知情的情况下接收到 恶意软件。🚨

弱点不在代码，而在交付

重要的是要理解，该项目的 开源代码，公开可用，并不包含故意漏洞。问题出现在链条的后续环节：托管 APK 文件的 服务器，用于自动更新，被攻破了。攻击者成功将合法的 SmartTube 构建替换为操纵版本。这个欺诈版本包含了安全研究人员称为 Xamalicious 的知名木马，它能够远程控制设备、窃取机密数据，并作为更多威胁的入口。

攻击者如何操作？：

基础设施 compromised： 恶意行为者获得了对负责 Over-The-Air (OTA) 更新的服务器的未授权访问。
APK 替换： 用感染了 Xamalicious 代码的安装程序替换了真实的安装程序。
自动分发： 在应用中启用了自动更新功能的用戶悄无声息地收到了恶意包。

“即使是最可靠的圣殿，也可能被侵犯，不是因为代码中的后门，而是因为有人只是更换了存储最终副本的仓库的锁。”

开发者的回应和关键行动指南

Yury，SmartTube 背后的主要开发者，确认了事件并迅速采取行动加以控制。他的第一项措施是 禁用来自 compromised 服务器的自动更新，从而切断了恶意软件的传播。目前，他正在恢复一个 安全且经过验证的供应链。对于用户来说，情况需要立即采取行动来保护他们的设备。

用户安全推荐：

预防性卸载： 建议卸载过去几周自动更新的任何版本的 SmartTube。
唯一官方来源： 安装必须仅从项目的 GitHub 官方仓库 下载最新稳定版本。
手动更新： 至关重要的是在应用内禁用自动更新选项，并手动进行未来更新，始终从 GitHub 下载。

关于供应链信任的一课

这一事件为整个软件社区，特别是开源社区，提供了一个强大的 网络提醒。用户的信任不仅寄托于代码的透明度，还寄托于 围绕它的整个基础设施：服务器、构建过程和分发渠道。一个项目可能经过审计且干净，但物流中的单一故障点就可能危及数千人。安全是一条链，其最弱的环节决定了其强度。🔗