Se utilizas o popular cliente alternativo de YouTube, o SmartTube, nas tuas televisões ou boxes com Android TV e Fire TV, é provável que tenhas notado algo estranho recentemente: a aplicação pode ter sido desinstalada automaticamente ou deixado de funcionar. Não se trata de um erro do teu dispositivo, mas sim de uma medida de proteção urgente desencadeada por uma falha de segurança grave.
A assinatura digital da aplicação foi exposta, o que levou a Google e a Amazon a intervir para proteger os utilizadores. Devido a este incidente, a versão que tens instalada tornou-se obsoleta e requer uma ação manual para voltar a ter o serviço funcional.
O risco da assinatura exposta
O problema central reside na exposição da chave de assinatura digital do SmartTube. Esta chave é o que garante aos sistemas operativos que uma atualização provém legitimamente do programador original. Com a chave comprometida, atacantes poderiam teoricamente criar versões maliciosas da aplicação e distribuí-las como se fossem atualizações legítimas, infetando os dispositivos dos utilizadores com malware.
Para mitigar este risco, o Google Play Protect começou a desativar ou remover as instalações afetadas, sinalizando-as como perigosas. O programador do SmartTube agiu rapidamente, abandonando a chave comprometida e gerando uma nova, o que forçou a criação de um novo identificador para a aplicação. Isto significa que a versão antiga não receberá mais atualizações e deve ser considerada insegura.
Como instalar a nova versão segura
Como a nova versão possui uma assinatura diferente, ela não será instalada como uma atualização automática da aplicação existente. Os utilizadores terão de realizar uma nova instalação manual (sideload) e configurar a aplicação do zero, uma vez que as definições anteriores não são importadas automaticamente.
A nova versão (que corrige a falha de segurança ao usar uma nova chave) ainda não está disponível diretamente na página principal do GitHub da forma habitual, mas pode ser obtida através da aplicação "Downloader". Os utilizadores devem utilizar os seguintes códigos para descarregar a versão segura:
28544 para a versão estável;
79015 para a versão beta.
O programador deixa um aviso importante, conforme detalhado na nota oficial do repositório do SmartTube: os utilizadores não devem, em circunstância alguma, desativar o Play Protect para tentar manter a versão antiga a funcionar. O alerta de segurança é real e não um falso positivo ou um conflito com a Google. A única forma segura de continuar a utilizar o serviço é através da instalação da nova compilação com a assinatura renovada.
Nenhum comentário
Seja o primeiro!