Ti hanno regalato una cornice digitale? Altro che ricordi di famiglia

I ricercatori hanno scoperto che le cornici digitali Uhale con sistema operativo Android presentano diverse vulnerabilità critiche: alcuni modelli scaricano ed eseguono addirittura malware durante l’avvio. Hanno esaminato l’app Uhale e hanno scoperto attività associate a due famiglie di malware: Mezmess e Vo1d.

Già nel maggio 2025, i ricercatori avevano tentato di segnalare i problemi riscontrati all’azienda cinese ZEASN (ora ribattezzata Whale TV), responsabile della piattaforma Uhale utilizzata nelle cornici digitali di molti marchi. Tuttavia, gli specialisti non hanno mai ricevuto risposta dagli sviluppatori.

Gli esperti hanno scoperto che molti dei modelli di cornici digitali analizzati scaricano payload dannosi dai server cinesi subito dopo l’accensione. All’avvio, i dispositivi verificano la presenza di un aggiornamento dell’app Uhale, installano l’aggiornamento alla versione 4.2.0 e si riavviano. Dopo il riavvio, l’app aggiornata avvia il download e l’esecuzione del malware.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il file JAR/DEX scaricato viene salvato nella directory dell’applicazione Uhale ed eseguito a ogni successivo avvio del sistema. Non è ancora chiaro perché la versione 4.2.0 dell’applicazione sia diventata dannosa (se ciò sia stato fatto intenzionalmente dagli sviluppatori stessi o se sia stata compromessa l’infrastruttura di aggiornamento ZEASN).

Il malware rilevato è stato collegato alla botnet Vo1d , che conta milioni di dispositivi, nonché alla famiglia di malware Mzmess. Questa connessione è confermata dai prefissi dei pacchetti, dai nomi delle stringhe, dagli endpoint, dal processo di distribuzione del malware e da una serie di artefatti.

Oltre al download automatico del malware (che non si è verificato su tutte le cornici analizzate), i ricercatori hanno scoperto anche numerose vulnerabilità. Nel loro rapporto, gli specialisti di Quokka hanno dettagliato 17 problemi, 11 dei quali hanno già ricevuto identificatori CVE. I più gravi sono:

• CVE-2025-58392 e CVE-2025-58397 – Un’implementazione non sicura di TrustManager consente a un attacco MitM di iniettare risposte crittografate contraffatte, portando infine all’esecuzione di codice remoto con privilegi di root;
• CVE-2025-58388 – Durante un aggiornamento dell’applicazione, i nomi dei file raw vengono passati direttamente ai comandi shell, consentendo l’iniezione di comandi e l’installazione remota di APK arbitrari;
• CVE-2025-58394 – Tutte le cornici fotografiche testate sono state spedite con SELinux disabilitato, accesso root predefinito e chiavi di test pubbliche AOSP, il che significa che erano completamente compromesse fin dal primo momento;
• CVE-2025-58396 – Un’applicazione preinstallata avvia un file server sulla porta TCP 17802, che accetta caricamenti di file senza autenticazione. Di conseguenza, qualsiasi host sulla rete locale ottiene la possibilità di scrivere o eliminare file arbitrari sul dispositivo;
• CVE-2025-58390 – WebView nell’app ignora gli errori SSL/TLS e consente contenuti misti, consentendo agli aggressori di iniettare o intercettare i dati visualizzati sul dispositivo, aprendo la porta al phishing e allo spoofing dei contenuti.

I ricercatori hanno anche trovato una chiave AES codificata per decifrare le risposte sdkbin. Inoltre, diversi modelli di cornici fotografiche contenevano componenti di aggiornamento Adups e librerie obsolete, e l’app utilizzava schemi crittografici deboli e chiavi codificate.

Tuttavia, è difficile stimare il numero esatto delle vittime: la maggior parte delle cornici per foto vulnerabili viene venduta con marchi diversi e senza menzionare la piattaforma Uhale. Pertanto, i ricercatori citano statistiche diverse: l’app Uhale è stata scaricata oltre 500.000 volte su Google Play e ha oltre 11.000 recensioni sull’App Store. Inoltre, le cornici per foto Uhale vendute su Amazon hanno circa 1.000 recensioni.

In conclusione, gli esperti consigliano di acquistare gadget solo da produttori affidabili che utilizzano immagini Android ufficiali senza modifiche al firmware, supportano i servizi Google e dispongono di protezione antimalware integrata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.