Tu foto de boda podría traer un virus desde China: el marco de fotos digital, el caballo de Troya perfecto para toda la familia
17 vulnerabilidades: cuenta root habilitada por defecto y SELinux desactivado
En el mercado de marcos digitales para fotografías se ha detectado un problema a gran escala: dispositivos basados en Android, comercializados bajo la marca Uhale, descargan componentes maliciosos al iniciar el sistema y contienen un conjunto de vulnerabilidades críticas que permiten obtener control total sobre el dispositivo. Así lo concluyeron los especialistas de Quokka, que estudiaron el comportamiento de la aplicación Uhale y de la plataforma asociada desarrollada por la empresa china Whale TV. Sus intentos de notificar al desarrollador desde mayo de este año no han recibido respuesta.
Según el análisis, se comprobó que parte de esos marcos, inmediatamente después de encenderse, contactan con servidores remotos ubicados en China, descargan la aplicación versión 4.2.0 y ejecutan automáticamente la compilación actualizada. Tras el reinicio, el cliente integrado inicia la descarga y ejecución de un archivo JAR o DEX, que se guarda en el directorio interno y sigue ejecutándose en cada arranque posterior. Los investigadores observan coincidencias con las familias de malware Mezmess y Vo1d —desde prefijos de paquetes y cadenas hasta la estructura de entrega y la ubicación de artefactos en el sistema. El vector preciso de infección aún no se ha establecido.
Otro peligro adicional es el nivel del sistema de los dispositivos: los marcos comprobados funcionan con SELinux desactivado, se suministran con acceso root ya activado y están firmados con las claves de prueba de AOSP. Esta combinación los hace vulnerables desde el primer uso y crea condiciones para la ejecución sin restricciones de cualquier operación.
Además de la entrega automática de código malicioso, los especialistas identificaron 17 vulnerabilidades en el software, 11 de las cuales recibieron identificadores CVE. Entre ellas se señalan los problemas más graves.
La vulnerabilidad CVE-2025-58392 y la relacionada CVE-2025-58397 están asociadas a una implementación no segura de TrustManager, lo que permite a un atacante falsificar respuestas protegidas y ejecutar comandos arbitrarios con privilegios de superusuario.
El fallo CVE-2025-58388 se encontró en el mecanismo de actualización, donde nombres de archivo no saneados se insertan directamente en los comandos invocados por la shell y permiten inyectar APK de cualquier contenido sin ser detectados.
El problema CVE-2025-58394 subraya que todos los modelos analizados se suministran sin SELinux activo, cuentan con acceso root por defecto y dependen de claves de prueba públicas.
La vulnerabilidad CVE-2025-58396 demuestra que el cliente preinstalado abre un servidor de archivos en el puerto TCP 17802, que acepta cualquier carga sin verificar permisos, lo que permite a cualquier dispositivo en la red local sobrescribir o eliminar archivos.
En el caso de CVE-2025-58390 se detectaron errores en el manejo de SSL/TLS en WebView que ignoran certificados y contenido mixto, lo que posibilita la falsificación de la información mostrada y ataques locales de phishing.
Los especialistas también encontraron una clave AES incrustada de forma rígida, utilizada para descifrar las respuestas de red sdkbin, y en varios modelos — versiones obsoletas de bibliotecas y componentes de Adups.
Esta combinación deja la pila de software sin una capa de protección y abre riesgos adicionales relacionados con la cadena de suministro. Es difícil estimar el número de usuarios: los marcos se venden bajo distintas marcas comerciales y no se divulga información sobre la plataforma utilizada. La aplicación Uhale supera medio millón de descargas en Google Play, y en App Store hay más de 11 000 reseñas. En los mercados online, la cantidad de reseñas de dispositivos con la misma plataforma también se acerca al millar.