As molduras digitais baseadas em Android, uma forma popular de exibir memórias em casa, estão no centro de um grave alerta de segurança. Foi descoberto que muitas destas molduras contêm vulnerabilidades críticas e, em alguns casos, chegam mesmo a descarregar e executar malware automaticamente durante o arranque.
Uma investigação de segurança aprofundada da Quokka, uma empresa de segurança móvel, analisou a aplicação Uhale e encontrou comportamentos que sugerem uma ligação às famílias de malware Mezmess e Voi1d.
Os investigadores tentaram contactar a ZEASN (agora conhecida como 'Whale TV'), a empresa chinesa por trás da plataforma Uhale utilizada em molduras de várias marcas, mas não obtiveram qualquer resposta às múltiplas notificações enviadas desde maio.
O malware que chega com o arranque
O ponto mais alarmante da investigação é a entrega automática de malware. Muitas das molduras Uhale analisadas, ao iniciarem, verificam e atualizam a aplicação Uhale para a versão 4.2.0.
O dispositivo instala esta nova versão e reinicia. Após este segundo arranque, a aplicação Uhale atualizada trata de descarregar e executar o malware. Este ficheiro malicioso (JAR/DEX) é guardado no diretório de ficheiros da própria aplicação Uhale e é executado em todos os arranques seguintes.
Os investigadores encontraram evidências que ligam estes pacotes maliciosos às famílias de botnet Vo1d e ao malware Mzmess, com base em vários indicadores técnicos. Não é claro, contudo, como os dispositivos foram infetados em primeiro lugar.
Um 'cocktail' de falhas de segurança
Para além da entrega de malware, que não ocorreu em todas as molduras testadas, a investigação da Quokka descobriu mais de uma dúzia de outras vulnerabilidades, 11 das quais já têm identificadores CVE atribuídos.
O mais preocupante é que os dispositivos parecem "totalmente comprometidos" mal saem da caixa (CVE-2025-58394). Os investigadores descobriram que as molduras analisadas tinham o módulo de segurança SELinux desativado, vinham com acesso 'root' de fábrica e muitos componentes do sistema estavam assinados com chaves de teste públicas do AOSP (Android Open Source Project).
Outras falhas críticas incluem:
Execução Remota de Código (RCE): Uma implementação insegura do TrustManager (CVE-2025-58392 / CVE-2025-58397) permite ataques man-in-the-middle (MitM) que podem levar à execução remota de código como 'root' nos dispositivos afetados.
Injeção de Comandos: O processo de atualização da aplicação aceita nomes de ficheiros não sanitizados diretamente em comandos shell (CVE-2025-58388), permitindo a instalação remota de APKs arbitrários.
Servidor de Ficheiros Inseguro: Um servidor de ficheiros pré-instalado na porta TCP 17802 (CVE-2025-58396) aceita uploads sem qualquer autenticação, permitindo que qualquer pessoa na rede local escreva ou apague ficheiros no dispositivo.
Chave AES Codificada: A aplicação utiliza uma chave AES codificada (DE252F9AC7624D723212E7E70972134D) para decifrar respostas do servidor.
Riscos na Cadeia de Abastecimento: Vários modelos incluem componentes de atualização Adups (conhecidos por riscos de segurança), bibliotecas desatualizadas e padrões de criptografia fracos.
Milhares de utilizadores em risco
Estimar o número exato de utilizadores afetados é difícil, uma vez que estes produtos são vendidos sob várias marcas que não mencionam a plataforma Uhale.
No entanto, a escala do problema pode ser significativa. A aplicação Uhale regista mais de 500.000 descargas na Google Play Store e conta com 11.000 avaliações na App Store da Apple. Na Amazon, as molduras da marca Uhale acumulam quase mil avaliações de utilizadores.
Recomenda-se que os consumidores comprem dispositivos eletrónicos apenas de marcas reputadas, que utilizem imagens oficiais do Android, com Google Play Services e proteções de malware integradas.
Nenhum comentário
Seja o primeiro!