安卓电视平台的开源 YouTube 客户端 SmartTube 已确认遭入侵——攻击者获取开发者的数字签名密钥后，向用户推送了包含恶意代码的更新包。

此次安全事件由多名用户反馈发现：安卓内置杀毒模块 Google Play Protect 在部分设备上拦截了 SmartTube，并向用户发出安全风险警示。

SmartTube 开发者证实，其数字签名密钥于上周末被盗，导致恶意软件被注入应用程序。目前已吊销旧签名，并表示将尽快发布采用独立应用 ID 的新版本，同时敦促用户升级至该安全版本。

作为安卓电视、Fire TV、安卓电视盒等设备上下载量最高的第三方 YouTube 客户端之一，SmartTube 的流行源于其免费属性、广告拦截功能，以及在低性能设备上的流畅运行表现。 

一名逆向工程师对遭入侵的 30.51 版本进行分析后发现，该版本包含一个名为 libalphasdk.so 的隐藏原生库（ [ 病毒总数平台检测链接 ] ）。由于该库未出现在公开源代码中，推测是在发布构建过程中被恶意注入。 

开发者表示：" 这很可能是一款恶意软件。该文件并非所使用 SDK 的组成部分，其出现在 APK 安装包中完全出乎意料且存在高度可疑性。在核实其来源前，建议用户保持警惕。"

经分析，该恶意库会在后台静默运行，无需用户交互即可完成设备指纹采集、向远程服务器注册设备，并通过加密通信通道定期发送设备指标数据及获取配置指令。尽管目前尚未发现账号盗窃、参与 DDoS 僵尸网络等恶意行为，但攻击者可随时利用该模块发起此类攻击，潜在风险极高。 

尽管开发者已在 Telegram 宣布发布安全测试版及稳定测试版，但这些版本尚未同步至项目官方 GitHub 仓库。此外，开发者未披露事件完整细节，引发用户信任危机。SmartTube 表示，待新版应用正式上架 F-Droid 应用商店后，将全面回应所有关问题。 

在开发者通过详细事后分析报告公开披露全部事件细节前，安全专家建议用户：保持使用经验证安全的旧版本、避免登录高级账户、关闭自动更新功能；受影响用户应重置 Google 账户密码，检查账户控制台是否存在未授权访问记录，并移除陌生关联服务。

为确保完全安全，SmartTube 已从 30.55 版本起已切换至新签名密钥。30.47 Stable v7a 版本出现不同哈希值，可能是在清理受感染系统后尝试恢复该版本所致。