Când ne amintim de zilele în care un cadru foto digital era doar un simplu obiect pe noptieră, acum vedem că astfel de dispozitive pot fi purtători de malware. Textul discută rame foto digitale care rulează Android și vulnerabilitățile găsite în aplicația Uhale, folosită de numeroase branduri; testele au fost efectuate de firma de securitate mobilă Quokka. Problema afectează produse care comunică cu servere din China și se poate manifesta prin descărcarea automată la pornire a unor payload-uri malițioase.
Quokka a analizat în profunzime aplicația Uhale și a identificat comportamente ce asociază anumite payload-uri cu familiile de malware Mezmess și Voi1d. Cercetătorii au notificat compania chineză ZEASN (care ulterior și-a schimbat numele în Whale TV) începând din mai, însă nu au primit răspunsuri la multiplele sesizări. Cea mai alarmantă descoperire e că multe dintre cadrele foto testate descarcă și execută la boot malware de pe servere din China. La pornire, dispozitivele verifică și actualizează aplicația Uhale la versiunea 4.2.0; după instalare urmează un restart, iar aplicația actualizată începe să descarce și să ruleze cod malițios. Fișierul JAR/DEX descărcat rămâne în directorul aplicației și este încărcat la fiecare pornire ulterioară. Cercetătorii au mai observat că multe dispozitive aveau SELinux dezactivat, veneau cu root din fabrică și multiple componente de sistem erau semnate cu chei de test AOSP, un mediu foarte permisiv pentru atacuri.
Quokka a găsit semne care leagă payload-urile descărcate de botnetul Vo1d și de Mzmess, pe baza prefixelor pachetelor, a denumirilor din string-uri, a endpoint-urilor, a fluxului de livrare și a locațiilor artifactelor, însă nu este clar la ce etapă sau prin ce mecanism a avut loc infectarea inițială. Pe lângă problema livrării automate de malware, care nu apare pe toate modelele, au fost descoperite mai mult de o duzină de vulnerabilități distincte. Din cele 17 probleme raportate, 11 au primit CVE-uri. Printre cele mai serioase se numără două vulnerabilități ale unui TrustManager nesigur care permit atacuri man-in-the-middle și pot conduce la executare de cod cu privilegii root; procesul de update al aplicației care transmite nume de fișiere nesecurizate direct în comenzi shell, deschizând posibilitatea injecției de comenzi și instalării la distanță de APK-uri arbitrare; dispozitivele testate fiind livrate cu SELinux dezactivat, root din fabrică și cu chei publice AOSP, ceea ce le compromite din start; un server de fișiere expus pe portul TCP 17802 care acceptă upload-uri nesecurizate, permițând oricărui host din rețeaua locală să scrie sau să șteargă fișiere; WebView-uri care ignoră erorile SSL/TLS și permit conținut mixt, facilitând interceptarea sau manipularea datelor afișate. În plus, raportul menționează o cheie AES hardcodată (DE252F9AC7624D723212E7E70972134D) folosită pentru decriptarea unor răspunsuri, prezența componentelor Adups și a unor librării învechite pe anumite modele și practici slabe de criptare care creează riscuri în lanțul de aprovizionare.
Fiind comercializate sub multe branduri fără a se indica platforma utilizată, e greu de estimat câți utilizatori sunt expuși. Aplicația Uhale are peste 500.000 de descărcări pe Google Play și 11.000 de recenzii în App Store, iar cadrele foto Uhale de pe Amazon au aproape o mie de recenzii, semne că produsul este răspândit. BleepingComputer a contactat ZEASN pentru comentarii, dar nu a primit răspuns până la publicare. Pentru consumatori, recomandarea este să cumpere dispozitive electronice de la mărci de încredere care folosesc imagini oficiale Android fără modificări de firmware, servicii Google Play și protecții integrate împotriva malware.
Raportul Quokka ridică probleme serioase: cum produse aparent banale, vândute sub etichete diferite, pot ascunde riscuri majore de securitate. Datele menționate, peste 500.000 de descărcări, 11.000 de recenzii în App Store, aproape 1.000 de recenzii pe Amazon, arată că nu e doar o ipoteză. Elementele concrete din raport, precum versiunea Uhale 4.2.0, portul TCP 17802, cheia AES hardcodată și CVE-urile (de ex. CVE-2025-58392, CVE-2025-58397) pot ajuta utilizatorii și administratorii să verifice dacă dispozitivele lor sunt vulnerabile. În practică, verificarea activității SELinux, a semnăturilor legitime ale sistemului și evitarea produselor rootate din fabrică sunt pași simpli pentru reducerea riscului. Producătorii și distribuitorii ar trebui să remedieze aceste vulnerabilități dincolo de simple actualizări cosmetice, incluzând audituri independente ale lanțului software.
Te întrebi dacă cadrul foto de pe noptieră îți aduce doar amintiri sau și probleme de securitate?
Fii primul care comentează