Ti hanno regalato una cornice digitale? Altro che ricordi di famiglia

I ricercatori hanno scoperto che le cornici digitali Uhale con sistema operativo Android presentano diverse vulnerabilità critiche: alcuni modelli scaricano ed eseguono addirittura malware durante l’avvio. Hanno esaminato l’app Uhale e hanno scoperto attività associate a due famiglie di malware: Mezmess e Vo1d.

Già nel maggio 2025, i ricercatori avevano tentato di segnalare i problemi riscontrati all’azienda cinese ZEASN (ora ribattezzata Whale TV), responsabile della piattaforma Uhale utilizzata nelle cornici digitali di molti marchi. Tuttavia, gli specialisti non hanno mai ricevuto risposta dagli sviluppatori.

Gli esperti hanno scoperto che molti dei modelli di cornici digitali analizzati scaricano payload dannosi dai server cinesi subito dopo l’accensione. All’avvio, i dispositivi verificano la presenza di un aggiornamento dell’app Uhale, installano l’aggiornamento alla versione 4.2.0 e si riavviano. Dopo il riavvio, l’app aggiornata avvia il download e l’esecuzione del malware.

Il file JAR/DEX scaricato viene salvato nella directory dell’applicazione Uhale ed eseguito a ogni successivo avvio del sistema. Non è ancora chiaro perché la versione 4.2.0 dell’applicazione sia diventata dannosa (se ciò sia stato fatto intenzionalmente dagli sviluppatori stessi o se sia stata compromessa l’infrastruttura di aggiornamento ZEASN).

Il malware rilevato è stato collegato alla botnet Vo1d , che conta milioni di dispositivi, nonché alla famiglia di malware Mzmess. Questa connessione è confermata dai prefissi dei pacchetti, dai nomi delle stringhe, dagli endpoint, dal processo di distribuzione del malware e da una serie di artefatti.

Oltre al download automatico del malware (che non si è verificato su tutte le cornici analizzate), i ricercatori hanno scoperto anche numerose vulnerabilità. Nel loro rapporto, gli specialisti di Quokka hanno dettagliato 17 problemi, 11 dei quali hanno già ricevuto identificatori CVE. I più gravi sono:

• CVE-2025-58392 e CVE-2025-58397 – Un’implementazione non sicura di TrustManager consente a un attacco MitM di iniettare risposte crittografate contraffatte, portando infine all’esecuzione di codice remoto con privilegi di root;
• CVE-2025-58388 – Durante un aggiornamento dell’applicazione, i nomi dei file raw vengono passati direttamente ai comandi shell, consentendo l’iniezione di comandi e l’installazione remota di APK arbitrari;
• CVE-2025-58394 – Tutte le cornici fotografiche testate sono state spedite con SELinux disabilitato, accesso root predefinito e chiavi di test pubbliche AOSP, il che significa che erano completamente compromesse fin dal primo momento;
• CVE-2025-58396 – Un’applicazione preinstallata avvia un file server sulla porta TCP 17802, che accetta caricamenti di file senza autenticazione. Di conseguenza, qualsiasi host sulla rete locale ottiene la possibilità di scrivere o eliminare file arbitrari sul dispositivo;
• CVE-2025-58390 – WebView nell’app ignora gli errori SSL/TLS e consente contenuti misti, consentendo agli aggressori di iniettare o intercettare i dati visualizzati sul dispositivo, aprendo la porta al phishing e allo spoofing dei contenuti.

I ricercatori hanno anche trovato una chiave AES codificata per decifrare le risposte sdkbin. Inoltre, diversi modelli di cornici fotografiche contenevano componenti di aggiornamento Adups e librerie obsolete, e l’app utilizzava schemi crittografici deboli e chiavi codificate.

Tuttavia, è difficile stimare il numero esatto delle vittime: la maggior parte delle cornici per foto vulnerabili viene venduta con marchi diversi e senza menzionare la piattaforma Uhale. Pertanto, i ricercatori citano statistiche diverse: l’app Uhale è stata scaricata oltre 500.000 volte su Google Play e ha oltre 11.000 recensioni sull’App Store. Inoltre, le cornici per foto Uhale vendute su Amazon hanno circa 1.000 recensioni.

In conclusione, gli esperti consigliano di acquistare gadget solo da produttori affidabili che utilizzano immagini Android ufficiali senza modifiche al firmware, supportano i servizi Google e dispongono di protezione antimalware integrata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore