SmartTubeは、AndroidデバイスとAndroid TVオペレーティングシステムを搭載したスマートテレビ用の代替YouTubeプレーヤーです。
通常の範囲でYoutubeを利用するのであればYoutubeアプリで十分なのですが、他の類似のアプリと同じようにちょっと便利な拡張が含まれるというタイプの代替アプリです。
このSmartTubeが侵害状態にあることがわかりました。
どんなことが起こっていたのでしょうか。
- アプリはGithub上で公開されていた
アプリの開発と公開はGithubで行われていました。
これまでは通常のバグ報告や改善要望のやり取りもGithub上で実施されている健全な状態でした。 - SmartTubeの開発者のデジタルキーが侵害された
どのような直接的な出来事がこのデジタルキーの侵害の原因となったのかについては定かではありませんが、開発者のデジタルキーが侵害されていたことがわかりました。
Githubのデジタルキーを入手した場合、その入手者はそのデジタルキーで認証されるすべての範囲の公開物の管理操作を行うことができる状態になります。 - SmartTubeの公開内容が変更された
SmartTubeの開発者のデジタルキーを入手した人は脅威アクターでした。
脅威アクターは悪意ある機構を含むバージョンを作成し、それを直接利用可能な配布形態にしたものをGithubで公開しました。
加えて、健全なままの状態だった過去のバージョンをGithub上から削除しました。
これにより、SmartTubeを新規に利用開始するすべての人と、SmartTubeを利用中で更新を実施するすべての人の両方の環境を汚染することができる状態となりました。 - 改変はバイナリに実施した
悪意ある改変を実施した状態のアプリが配布された状態になったのですが、その悪意ある変更は配布形式のバイナリの部分に施されていました。
公開されているアプリのソースコード部分には手を加えられていませんでしたので、ソースコードの監査を行うだけでは問題の存在を発見することはできないものでした。
挿入されていたオリジナルの開発者が作成したものではないものは、libalphasdk.soという隠しネイティブライブラリの形状でした。 - Play Protectが問題を検出した
この問題の初期発見は、Play Protectによるものでした。
Play Protectは、Androidデバイスをマルウェアやその他の有害なアプリから保護する、Googleが提供するセキュリティシステムです。
アプリのダウンロード前とデバイスへのインストール後にスキャンを行い、有害なアプリを検出し警告や削除を行います。
今回、この機構が有効性を発揮し、問題が顕在化しました。
Android TVを搭載したAndroidテレビが多く販売されています。
なかにはテレビチューナがそもそも搭載されていない商品も登場しています。
AndroidテレビではGoogle Playストアが利用できるようになっていて、自分でアプリを追加して買った状態とは異なる状態で利用することもできます。
これは大きなメリットです。
一定の利用者層にとっては、Androidテレビはリビングルーム向けのパソコンを完全に置き換えることができるものとなっていることが人気の理由でしょう。
この自由度は便利さと一緒に危険性も運んできます。
スマートフォンの利用に注意が必要なことと同じで、Androidテレビも安全に配慮した利用が必要です。
[NOT A BUG!]: Google just removed SmartTube from my Android TV Box #5131
https://github.com/yuliskov/SmartTube/issues/5131
| この記事をシェア |
|
|---|
