人気のAndroidベースのフォトフレーム、起動時にマルウェアをダウンロード

Uhale社のAndroidベースのデジタルフォトフレームには、複数の重大なセキュリティ脆弱性があり、起動時にマルウェアをダウンロードして実行するものもある。

モバイル・セキュリティ企業のQuokkaは、Uhaleアプリの詳細なセキュリティ評価を実施し、MezmessおよびVoi1dマルウェア・ファミリーとの関連を示唆する動作を発見した。

研究者は、多数の異なるブランドのデジタルフォトフレームに使用されているUhaleプラットフォームを開発した中国企業であるZEASN（現在は「Whale TV」）にこの問題を報告したが、5月以降、複数の通知に対して返答はなかった。

マルウェアの自動配信

最も憂慮すべき発見から始めると、分析されたUhaleフォトフレームの多くは、起動時に中国ベースのサーバーから悪意のあるペイロードをダウンロードする。

「Quokkaの研究者は報告書の中で、「起動すると、多くの調査対象フレームはUhaleアプリのバージョン4.2.0をチェックし、アップデートする。

「その後、デバイスはこの新しいバージョンをインストールし、再起動する。再起動後、アップデートされたUhaleアプリがマルウェアのダウンロードと実行を開始する。

ダウンロードされたJAR/DEXファイルは、Uhaleアプリのファイルディレクトリの下に保存され、その後の起動のたびにロードされ実行される。

Quokkaが調査したデバイスは、SELinuxセキュリティモジュールが無効化され、デフォルトでroot化されており、多くのシステムコンポーネントがAOSPテストキーで署名されていた。

研究者は、パッケージの接頭辞、文字列名、エンドポイント、配信ワークフロー、およびアーティファクトの場所に基づいて、ダウンロードされたペイロードをVo1dボットネットおよびMzmessマルウェアファミリーに関連付ける証拠を発見した。

しかし、デバイスがどのように感染したのかは不明です。

複数のセキュリティ・ギャップ

すべてのウハレブランドのフォトフレームで発生したわけではないマルウェア配信のほかにも、研究者は10以上の脆弱性を発見した。

Quokkaが報告書で公表している17のセキュリティ問題のうち、CVE-IDが割り当てられているのは11件で、最も重要なものは以下のとおりです：

• CVE-2025-58392 / CVE-2025-58397– TrustManager の実装が安全でないため、暗号化された応答が中間者（man-in-the-middle）により注入され、影響を受けるデバイスの root としてリモートでコードが実行される可能性があります。
• CVE-2025-58388– アプリのアップデートプロセスで、サニタイズされていないファイル名がシェルコマンドに直接渡されるため、コマンドインジェクションと任意の APK のリモートインストールが可能になります。
• CVE-2025-58394– テストされたフレームは全て SELinux が無効化された状態で出荷され、デフォルトで root 化され、公開されている AOSP テストキーを使用します。
• CVE-2025-58396– プリインストールされたアプリは、認証されていないアップロードを受け付ける TCP ポート 17802 のファイルサーバを公開しており、任意のローカルネットワークホストが任意のファイルを書き込んだり削除したりできるようになっています。
• CVE-2025-58390– アプリの WebView が SSL/TLS エラーを無視し、混合コンテンツを許可するため、攻撃者がデバイス上に表示されたデータを注入または傍受し、フィッシングやコンテンツスプーフィングを可能にします。
• ハードコードされた AES キー（DE252F9AC7624D723212E7E70972134D）が sdkbin レスポンスの復号化に使用されています。
• いくつかのモデルには、Adupsアップデート・コンポーネントや古いライブラリが含まれており、アプリには脆弱な暗号パターンとハードコード化された鍵が使用されているため、サプライチェーン上のリスクが発生している。

これらの製品のほとんどは、使用するプラットフォームに言及することなく、さまざまなブランドで販売されているため、影響を受ける可能性のあるユーザーの正確な数を推定することは困難である。

ウハレのアプリは、グーグルプレイで50万ダウンロードを超え、App Storeでは1万1000件のユーザーレビューを獲得している。アマゾンのウハレブランドのフォトフレームには1000件近いユーザーレビューがある。

は独自にZEASNにコメントを求めたが、掲載時間までに回答は得られていない。

消費者は、ファームウェアを変更することなく、公式のアンドロイド画像を使用し、グーグルプレイサービスを利用し、マルウェア保護を内蔵している信頼できるブランドからのみ電子機器を購入することをお勧めします。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

MCPのための7つのセキュリティ・ベスト・プラクティス

MCP（モデル・コンテキスト・プロトコル）がLLMをツールやデータに接続するための標準になるにつれて、セキュリティ・チームはこれらの新しいサービスを安全に保つために迅速に動いています。

この無料のチート・シートには、今日から使える7つのベスト・プラクティスがまとめられています。

今すぐダウンロード