El popular cliente de YouTube SmartTube para Android TV fue comprometido luego de que un atacante obtuviera acceso a las claves de firma del desarrollador, lo que permitió distribuir una actualización maliciosa a miles de usuarios. Este incidente ha generado gran preocupación entre quienes confiaban en la app para ver YouTube sin anuncios.
La brecha se ha conocido cuando varios usuarios reportaron que Google Play Protect bloqueó SmartTube y emitió advertencias de seguridad. El desarrollador del proyecto, Yuriy Yuliskov, ha confirmado que sus claves digitales fueron robadas, lo que derivó en la inserción de código no autorizado dentro de las versiones más recientes de la aplicación.
SmartTube comprometido: claves robadas y malware inyectado
La aplicación SmartTube, que es ampliamente utilizada en televisores Android, Fire TV Sticks y Android TV Box, se ganó su popularidad por ser gratuito, sin anuncios y de alto rendimiento, incluso, en dispositivos modestos. Sin embargo, su reputación sufrió un golpe tras descubriese que las versiones comprometidas contenían una biblioteca nativa oculta denominada libalphasdk.so.
Posiblemente un malware. Este archivo no forma parte de mi proyecto ni de ningún SDK que utilice. Su presencia en el APK es inesperada y sospechosa. Recomiendo precaución hasta que se verifique su origen, declaró Yuliskov en un hilo de GitHub.
El análisis técnico revela que esta biblioteca se ejecuta en segundo plano sin interacción del usuario, recopilando huellas digitales del dispositivo, registrándolas en un servidor remoto y enviando métricas mediante un canal cifrado. Aunque no hay evidencias directa de robo de datos o ataques DDoS, el nivel de acceso que obtiene representa un riesgo alto para la privacidad y seguridad del dispositivo.
El desarrollador promete una nueva versión segura
Tras el incidente, el desarrollador revocó la antigua firma digital y anunció que lanzará una nueva versión con un identificador de aplicación diferente, pidiendo a los usuarios a migrar hacía ella una vez este disponible.
En su canal de Telegram, el creador de SmartTube aseguró que trabaja en una beta limpia y estable, aunque aún no ha sido publicada en el repositorio oficial de GitHub, lo que ha incrementado la desconfianza entre los seguidores del proyecto.
Además, la falta de detalles técnicos sobre cómo ocurrió la brecha ha alimentado la incertidumbre. La comunidad exige transparencia total y una auditoría completa del código antes de volver a instalar nuevas versiones.
Recomendaciones para los usuarios afectados
Por el momento, se recomienda a los usuarios permanecer en versiones anteriores comprobadas como la 30.19, que no es detectada por Play Protect. También es prudente restablecer contraseñas en Google, revisar la actividad de la cuenta para detectar accesos no autorizados y desactivar las actualizaciones automáticas de la aplicación SmartTube.
Hasta ahora, no hay una fecha confirmada para el lanzamiento oficial, ni certeza sobre qué versiones exactas resultaron comprometidas. Hasta que se aclaren todos los detalles, los expertos aconsejan no iniciar sesión con cuentas premium y evitar la instalación de archivos APK fuera de las fuentes verificadas.
Así pues, el caso de SmartTube vuelve a poner en relieve los riesgos de seguridad en proyectos de código abierto, especialmente cuando sus claves de firma digital no están protegidas adecuadamente, recordando a los usuarios la importancia de verificar siempre la procedencia de las aplicaciones antes de proceder a instalarlas en los dispositivos.