Le cornici fotografiche digitali basate su sistema operativo Android, in particolare quelle che utilizzano la piattaforma software Uhale, non si limitano a mostrare i momenti felici.
Secondo un’approfondita indagine, questi dispositivi sono afflitti da molteplici vulnerabilità di sicurezza critiche e, in molti casi, sono programmati per scaricare ed eseguire malware attivo fin dal primo avvio.
Il cavallo di Troia perfetto per entrare nelle reti domestiche
L’allarme arriva dalla società di sicurezza mobile Quokka, che ha condotto una valutazione di sicurezza dettagliata sull’applicazione Uhale. I ricercatori hanno identificato comportamenti che suggeriscono una connessione diretta con le note famiglie di malware Mezmess e Voi1d, trasformando di fatto questi innocui oggetti d’arredamento in potenziali cavalli di Troia per attacchi informatici all’interno delle reti domestiche.
Nonostante la gravità dei risultati, il produttore della piattaforma, l’azienda cinese ZEASN (recentemente rinominata ‘Whale TV’), è rimasto in silenzio. Quokka ha riferito di aver inviato molteplici notifiche all’azienda a partire dallo scorso maggio, senza mai ricevere alcuna risposta.
Malware “di fabbrica” sin dal primo avvio
L’aspetto più preoccupante emerso dal report di Quokka è la distribuzione automatica di malware. Molte delle cornici Uhale analizzate, non appena accese e connesse a Internet, avviano un processo di download di payload malevoli da server situati in Cina.
Il flusso di attacco è il seguente: al primo avvio, il dispositivo verifica la presenza di aggiornamenti e installa la versione 4.2.0 dell’app Uhale. Una volta completato questo processo e dopo il riavvio, l’app aggiornata dà il via al download e all’esecuzione del malware. Questo file (un archivio JAR/DEX) viene salvato nella directory dell’app Uhale e caricato in memoria a ogni successivo avvio, garantendo la persistenza dell’infezione.
I ricercatori hanno trovato prove che collegano questi payload alla botnet Vo1d e alla famiglia malware Mzmess, basandosi su prefissi dei pacchetti, nomi delle stringhe, endpoint di comando e controllo e la posizione degli artefatti sul dispositivo.
A facilitare l’infezione contribuisce una configurazione di sistema incredibilmente insicura: i dispositivi esaminati avevano il modulo di sicurezza SELinux disabilitato, venivano forniti con privilegi di “root” abilitati per impostazione predefinita e molti componenti di sistema erano firmati con chiavi di test AOSP (Android Open Source Project) pubbliche. In sostanza, le cornici escono dalla fabbrica “già compromesse”, come sottolineano i ricercatori.
Una cascata di vulnerabilità critiche
Come se il malware preinstallato non fosse sufficiente, l’indagine ha portato alla luce oltre una dozzina di altre falle di sicurezza. Quokka ha reso note 17 vulnerabilità, 11 delle quali hanno già ricevuto un identificativo CVE ufficiale.
Tra le più significative figurano:
- CVE-2025-58392 / CVE-2025-58397: Un’implementazione insicura del TrustManager consente attacchi man-in-the-middle (MITM). Un utente malintenzionato può intercettare la comunicazione e iniettare risposte crittografate contraffatte, portando all’esecuzione di codice in modalità remota (RCE) con i massimi privilegi (root).
- CVE-2025-58388: Il processo di aggiornamento dell’app è vulnerabile alla command injection. I nomi dei file non vengono “sanificati”, permettendo a un aggressore di eseguire comandi arbitrari e installare qualsiasi APK malevolo.
- CVE-2025-58396: L’app preinstallata espone un file server sulla porta TCP 17802 che accetta upload senza alcuna autenticazione. Questo permette a qualsiasi dispositivo sulla stessa rete locale di scrivere o eliminare file arbitrari sul dispositivo.
- CVE-2025-58390: I componenti WebView dell’app ignorano gli errori SSL/TLS e permettono contenuti misti, esponendo l’utente ad attacchi di phishing o spoofing dei contenuti visualizzati sulla cornice.
Il report menziona anche la presenza di chiavi AES hardcoded (scritte direttamente nel codice), l’inclusione di componenti di aggiornamento Adups (noti per precedenti problemi di sicurezza) e l’uso di librerie obsolete, che aumentano ulteriormente i rischi per la catena di approvvigionamento.
Un impatto difficile da stimare
Stabilire il numero esatto di utenti a rischio è complesso. La maggior parte di questi prodotti viene commercializzata e venduta sotto vari marchi (in modalità white-label) senza menzionare la piattaforma Uhale.
Tuttavia, la sola app Uhale ha oltre 500.000 download sul Google Play Store e 11.000 recensioni sull’Apple App Store, suggerendo una base di utenti significativa. Anche le vendite su piattaforme come Amazon mostrano quasi un migliaio di recensioni per i modelli a marchio Uhale.
Ai consumatori si raccomanda di acquistare dispositivi elettronici solo da marchi noti e affidabili, che utilizzano immagini Android ufficiali, includono i servizi Google Play e protezioni malware integrate.
