サイバーニュース.jp

世界のサイバーなニュースを配信

人気Android搭載フォトフレーム、起動時にマルウェアをダウンロード

カテゴリ:

概要

Uhale製Android搭載デジタルフォトフレームに複数の重大なセキュリティ脆弱性が発見され、一部の製品は起動時にマルウェアをダウンロード・実行していることが判明しました。モバイルセキュリティ企業QuokkaがUhaleアプリの詳細なセキュリティ評価を実施した結果、MezmessおよびVoi1dマルウェアファミリーとの関連性を示唆する挙動が確認されました。研究者らは、Uhaleプラットフォームを開発した中国企業ZEASN(現「Whale TV」)に対し、5月以降複数回にわたり問題を通報しましたが、返答は得られていません。

起動時の自動マルウェア配信

最も懸念される発見として、分析された多くのUhaleフォトフレームが、起動時に中国を拠点とするサーバーから悪意のあるペイロードをダウンロードしていることが挙げられます。Quokkaの研究者らは報告書で、「起動時、調査対象の多くのフレームはUhaleアプリのバージョン4.2.0への更新を確認し、更新します。その後、デバイスはこの新バージョンをインストールして再起動します。再起動後、更新されたUhaleアプリはマルウェアのダウンロードと実行を開始します」と述べています。Uhaleアプリのファイルディレクトリに保存されたダウンロード済みのJAR/DEXファイルは、その後の起動ごとにロードされ実行されます。Quokkaが調査したデバイスは、SELinuxセキュリティモジュールが無効化されており、デフォルトでroot化されており、多くのシステムコンポーネントがAOSPテストキーで署名されていました。研究者らは、パッケージプレフィックス、文字列名、エンドポイント、配信ワークフロー、およびアーティファクトの場所に基づいて、ダウンロードされたペイロードがVo1dボットネットおよびMzmessマルウェアファミリーに関連している証拠を発見しました。ただし、デバイスがどのように感染したかは不明です。

複数のセキュリティ上の欠陥

マルウェア配信(すべてのUhaleブランドのフォトフレームで発生したわけではない)とは別に、研究者らは12以上の脆弱性も発見しました。Quokkaが報告書で開示した17のセキュリティ問題のうち、11件にはCVE-IDが割り当てられており、その中でも特に重要なものは以下の通りです。

  • CVE-2025-58392 / CVE-2025-58397 – 不安全なTrustManagerの実装により、偽造された暗号化応答のマン・イン・ザ・ミドル攻撃が可能となり、影響を受けるデバイスでroot権限でのリモートコード実行につながります。
  • CVE-2025-58388 – アプリの更新プロセスが、サニタイズされていないファイル名をシェルコマンドに直接渡すため、コマンドインジェクションと任意のAPKのリモートインストールが可能になります。
  • CVE-2025-58394 – テストされたすべてのフレームはSELinuxが無効化されており、デフォルトでroot化されており、公開されているAOSPテストキーを使用しているため、実質的に出荷時から完全に侵害された状態です。
  • CVE-2025-58396 – プリインストールされたアプリはTCPポート17802でファイルサーバーを公開しており、認証なしのアップロードを受け入れるため、任意のローカルネットワークホストが任意のファイルを書き込んだり削除したりできます。
  • CVE-2025-58390 – アプリのWebViewがSSL/TLSエラーを無視し、混合コンテンツを許可するため、攻撃者がデバイスに表示されるデータを挿入または傍受し、フィッシングやコンテンツスプーフィングを可能にします。
  • ハードコードされたAESキー (DE252F9AC7624D723212E7E70972134D) がsdkbin応答の復号に使用されています。

いくつかのモデルにはAdupsの更新コンポーネントや古いライブラリが含まれており、アプリは脆弱な暗号パターンとハードコードされたキーも使用しており、サプライチェーンのリスクを生み出しています。これらの製品のほとんどは、使用されているプラットフォームに言及することなく、さまざまなブランドで販売されているため、潜在的に影響を受けるユーザーの正確な数を推定することは困難です。UhaleアプリはGoogle Playで50万回以上ダウンロードされ、App Storeでは11,000件のユーザーレビューがあります。AmazonのUhaleブランドのフォトフレームには、約1,000件のユーザーレビューがあります。BleepingComputerは独自にZEASNにコメントを求めましたが、公開時点までに返答は得られていません。

消費者への推奨事項

消費者には、ファームウェアの変更がなく、Google Playサービスを利用し、マルウェア保護機能が組み込まれている、信頼できるブランドの電子デバイスのみを購入することが推奨されます。

元記事: https://www.bleepingcomputer.com/news/security/popular-android-based-photo-frames-download-malware-on-boot/

投稿をさらに読み込む