“SmartTube” แอปดู YouTube บน Android TV โดนเจาะระบบ ปล่อยอัปเดตแฝงมัลแวร์
กลายเป็นประเด็นร้อนในกลุ่มผู้ใช้งาน Android TV และกล่องทีวีต่างๆ เมื่อ “SmartTube” (หรือที่รู้จักกันในชื่อ SmartTubeNext) แอปพลิเคชัน Third-party ยอดนิยมสำหรับการดู YouTube แบบไร้โฆษณา ถูกผู้ไม่หวังดีเจาะระบบและปล่อยอัปเดตที่แฝงมัลแวร์ออกมาสู่ผู้ใช้งานจำนวนมาก
เกิดอะไรขึ้น? เมื่อของฟรีมี “ของแถม”
เรื่องราวแดงขึ้นเมื่อช่วงสุดสัปดาห์ที่ผ่านมา เมื่อผู้ใช้งานหลายรายเริ่มรายงานว่าระบบ Google Play Protect (แอนตี้ไวรัสในตัวของ Android) ได้ทำการบล็อกแอป SmartTube ในกล่องทีวีที่ใช้อยู่ พร้อมแจ้งเตือนว่าเป็นแอปอันตรายที่มีความเสี่ยง
ล่าสุด Yuriy Yuliskov ผู้พัฒนาแอป SmartTube ได้ออกมายอมรับความผิดพลาดผ่านช่องทางออนไลน์ว่า “Digital Signing Keys” (กุญแจดิจิทัลที่ใช้ยืนยันตัวตนนักพัฒนาและเซ็นรับรองแอป) ของเขาถูกขโมยไป ทำให้แฮกเกอร์สามารถปลอมแปลงและปล่อยอัปเดตแอปเวอร์ชันอันตรายออกมาโดยที่ระบบเข้าใจว่าเป็นอัปเดตจากนักพัฒนาตัวจริง
เบื้องลึกของ “โค้ดปริศนา”
จากการตรวจสอบทางเทคนิคโดยผู้เชี่ยวชาญที่ทดลองแกะโค้ดของ SmartTube เวอร์ชันที่มีปัญหา (เวอร์ชัน 30.51) พบความผิดปกติร้ายแรง ดังนี้:
- ไฟล์ลับที่ซ่อนอยู่: พบไลบรารีชื่อ
libalphasdk.soฝังอยู่ในแอป ซึ่งไฟล์นี้ไม่มีอยู่ในซอร์สโค้ดต้นฉบับที่เปิดเผยทั่วไป (Open Source) - การทำงานลับหลัง: โค้ดนี้จะทำงานเงียบๆ (Run silently) โดยที่ผู้ใช้ไม่รู้ตัว มันจะทำการเก็บข้อมูลจำเพาะของเครื่อง (Fingerprint) และส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ รวมถึงรอรับคำสั่งควบคุมระยะไกล
- ความเสี่ยง: แม้ขณะนี้ยังไม่พบหลักฐานการขโมยบัญชีหรือการโจมตีแบบ DDoS ชัดเจน แต่การที่มี “ประตูหลัง” (Backdoor) เปิดอยู่เช่นนี้ หมายความว่าแฮกเกอร์สามารถสั่งการให้ทำอะไรก็ได้ในอนาคต
ทางแก้ไขและคำแนะนำจากนักพัฒนา
ทางผู้พัฒนาได้ประกาศยกเลิก (Revoke) ลายเซ็นดิจิทัลชุดเก่าที่ถูกขโมยไปแล้ว และกำลังเร่งปล่อยแอปเวอร์ชันใหม่ที่ใช้ “App ID” ตัวใหม่ โดยแนะนำแนวทางปฏิบัติเบื้องต้นดังนี้:
- ระงับการอัปเดต: ใครที่ตั้งค่า Auto-update ไว้ ควรปิดฟังก์ชันนี้ชั่วคราว
- ย้อนกลับไปใช้เวอร์ชันเก่า: มีรายงานว่าเวอร์ชัน 30.19 ยังปลอดภัยและไม่ถูกแจ้งเตือนโดย Google Play Protect
- เปลี่ยนรหัสผ่าน: เพื่อความปลอดภัยสูงสุด ผู้ที่ล็อกอิน Google Account ค้างไว้ในแอปเวอร์ชันที่มีปัญหา ควรเปลี่ยนรหัสผ่านและตรวจสอบกิจกรรมที่ไม่พึงประสงค์ในบัญชีทันที