SmartTube sur Android : désinstallez l’application immédiatement, elle est piratée.
Une alerte Google Play Protect a signalé des versions vérolées de l’application SmartTube, qui a récemment connu une compromission de ses clés de signature numérique. Le développeur Yuriy Yuliskov a invalidé ces clés, ce qui a pour conséquence que la continuité des mises à jour est brisée, et que la future version de l’application sera considérée comme un nouveau programme par les dispositifs Android TV.
SmartTube (anciennement SmartTubeNext) est probablement la première application que l’on installe sur une Nvidia Shield ou une Google TV. Avec son interface soignée, l’absence de publicités, et SponsorBlock intégré, c’est le rêve des utilisateurs. Toutefois, ces derniers jours, cette situation a pris une tournure inquiétante. Yuriy Yuliskov, le développeur du projet, a confirmé le pire des scénarios pour un créateur de logiciel : ses clés de signature numérique ont été compromises.
Pour aller plus loin
Box TV : quel est le meilleur boîtier TV Android et Apple pour Netflix, Disney+ ou Canal+ ?
Autrement dit, des pirates ont pu créer des versions modifiées de l’application, injecter du code malveillant, puis les signer comme s’il s’agissait de mises à jour authentiques.
Si vous avez récemment mis à jour l’application, en particulier les versions 30.43 à 30.47, vous n’avez pas installé un correctif de bugs, mais un cheval de Troie dans votre salon. Google Play Protect a joué son rôle en alertant massivement les utilisateurs sur cette anomalie.
Le mouchard dans le code
Mais que fait ce code malveillant ? L’analyse technique de la version 30.51 (également affectée) a révélé la présence d’une bibliothèque native inconnue nommée libalphasdk.so. Ce fichier ne devrait pas être là. Il n’apparaît pas dans le code source open source du projet. C’est un intrus ajouté par les attaquants après la compilation de l’application.
Le fonctionnement de cette bibliothèque est préoccupant. Elle s’exécute en arrière-plan, de manière totalement invisible, et collecte des informations sur votre appareil pour les envoyer à un serveur distant contrôlé par les pirates. Plus insidieux encore, elle recharge régulièrement des données de configuration depuis ce serveur. Cela signifie que le comportement du malware peut évoluer à distance. Aujourd’hui, il s’agit d’exfiltration de données techniques. Demain, cela pourrait inclure le vol d’identifiants ou l’intégration de votre box TV dans un botnet.
Le développeur a réagi, mais les dégâts sont faits. Yuriy Yuliskov a invalidé les clés compromises. C’est la procédure d’urgence standard, mais cela entraîne une conséquence lourde : la continuité des mises à jour est rompue. La prochaine version « propre » aura un identifiant de package différent. En d’autres termes, votre Android TV la considérera comme une application toute nouvelle, et non comme une mise à jour de l’ancienne.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Ce que vous devez faire
Si vous avez SmartTube installé, il est urgent d’agir. Même si Play Protect ne vous a montré aucune alerte (les versions plus anciennes comme la 30.19 semblent épargnées), le risque est trop important pour prendre des risques avec vos données Google.
Première étape : désinstallez l’application immédiatement. Ne perdez pas de temps à déterminer quelle version vous avez, procédez à une désinstallation complète. Ensuite, changez votre mot de passe Google. Cela peut sembler excessif, car aucun vol de compte n’a été confirmé pour le moment, mais c’est une précaution essentielle en cas de compromission d’une application tierce ayant accès à vos services.
Pour la suite, il va falloir patienter. Le développeur a promis une version assainie qui sera disponible sur le store F-Droid. Des versions de test circulent sur Telegram, mais sincèrement ? Attendez. La confiance a été brisée, laissez les experts analyser le nouveau code avant de réinstaller quoi que ce soit. C’est le prix à payer pour utiliser des applications « hors des clous ».
Le sideloading, ou installation d’applications en dehors du Play Store, offre une liberté considérable, mais cela supprime les protections habituelles. Quand le filet de sécurité se déchire, comme c’est le cas ici, la chute est douloureuse.
