- 専門家がUhaleデバイスは起動のたびに自動で悪意のあるソフトウェアをダウンロードすると警告
- テストされたデジタルフォトフレームモデルで17件のセキュリティ問題を発見
- 主な脆弱性は、安全でないTrustManagerの実装や未サニタイズのファイル名など
セキュリティ研究者は、Uhaleブランドのデジタルフォトフレームに重大なリスクがあることを特定し、多くのデバイスが起動直後に悪意のあるソフトウェアをダウンロードしていることを明らかにしました。
モバイルセキュリティ企業Quokkaは、ファイル構造やエンドポイント、配信パターンから、Vo1dボットネットやMzmessマルウェアファミリーへのペイロードの関連性を指摘しています。
正確な感染経路は不明ですが、ワークフローには有害なJARまたはDEXファイルをインストールする自動アプリ更新が含まれており、これらはデバイスの再起動時に毎回実行されます。
複数の脆弱性が広範なリスクを生む
Quokkaの分析で、テストされたデバイス全体で17件のセキュリティ問題が明らかになり、そのうち11件にはCVE識別子が割り当てられました。
主な脆弱性には、中間者攻撃を許す安全でないTrustManagerの実装や、アップデートコマンド内の未サニタイズのファイル名による任意APKのリモートインストールが含まれます。
プリインストールアプリもローカルネットワーク上で認証なしのファイルサーバーを公開しており、追加のセキュリティリスクを生じさせます。
多くのデバイスはroot化された状態で出荷され、SELinuxが無効化され、AOSPテストキーが使用されており、最初から完全に危険な状態です。
WebViewはSSL/TLSエラーを無視し、攻撃者が悪意のあるコンテンツを注入できるほか、ハードコードされたAESキーや古いライブラリの存在がリスクをさらに高め、サプライチェーンの脆弱性にもつながっています。
同社は、影響を受けるユーザー数の推定が困難である理由として、これらのデバイスが複数ブランドで販売されていることを挙げています。Uhaleアプリ単体でもGoogle Playで50万回以上ダウンロードされ、各種マーケットプレイスで数千件のレビューがあります。
Uhaleの背後にある企業ZEASNは、研究者からの度重なる報告に応答しておらず、数か月間セキュリティ問題が放置されています。
消費者には、公式Androidファームウェアを使用しGoogle Playサービスを含む信頼できるメーカーのデバイスを選ぶことが推奨されています。
安全を保つため、ユーザーは脅威の検出・除去のためウイルス対策ソフトを維持する必要があります。
また、個人情報盗難対策を利用して個人情報を保護し、ファイアウォールを有効にして不正アクセスを防ぐべきです。
定期的なアップデートの確認や未検証アプリの回避も、これらの脆弱性への曝露を減らすことができます。
警戒心、多層的な防御、ファームウェアの挙動への認識が、ますます接続が進む環境でのセキュリティ維持に不可欠です。
