Allerta Uhale: cornici digitali installano malware Vo1d e Mzmess

Un’analisi tecnica approfondita ha portato alla luce una situazione estremamente preoccupante nel mondo delle cornici digitali di ultima generazione: ben 17 vulnerabilità critiche, di cui 11 già classificate con identificatori CVE, sono state individuate nei dispositivi commercializzati con il marchio Uhale.

Questi prodotti, apparentemente innocui e destinati all’uso domestico, si trasformano in vere e proprie porte d’ingresso per attacchi informatici, diventando vettori di furto dati e strumenti per l’inclusione in botnet internazionali.

L’aspetto più inquietante di questa vicenda riguarda la modalità d’infezione, che avviene in modo del tutto silenzioso e automatizzato: al primo avvio, o a ogni successivo riavvio, le cornici controllano la presenza di aggiornamenti per l’app proprietaria, scaricando e installando in modo autonomo versioni sospette degli stessi. Durante questo processo, viene eseguito il download di payload malevoli da server remoti localizzati in Cina, senza che l’utente abbia la minima percezione di ciò che sta accadendo.

I ricercatori di sicurezza, dopo aver analizzato i file sospetti e i flussi di comunicazione, hanno attribuito le attività malevole a due famiglie di malware ben note: la Vo1d botnet e Mzmess. Le evidenze sono state raccolte esaminando somiglianze nei file binari, endpoint di rete utilizzati per la diffusione e pattern ricorrenti nelle tecniche di propagazione. Questa scoperta conferma come anche dispositivi di fascia economica possano diventare strumenti di attacco su larga scala.

Il pericolo nascosto nelle cornici digitali

Le vulnerabilità individuate coprono un ampio spettro di problematiche: si va dalle implementazioni insicure di TrustManager, che espongono i dispositivi a rischi di attacchi man-in-the-middle e consentono l’esecuzione remota di codice con privilegi di root, ai comandi di aggiornamento non correttamente sanificati che permettono l’installazione remota di APK arbitrari. Particolarmente grave è la presenza di server di file non autenticati, che risultano vulnerabili ad upload e cancellazioni non autorizzate da parte di qualsiasi dispositivo connesso alla rete locale.

Uno degli aspetti più critici riguarda la configurazione di fabbrica di questi dispositivi: il sistema SELinux risulta disabilitato, l’accesso root è abilitato di default, vengono utilizzate chiavi di test AOSP pubbliche e le implementazioni di WebView ignorano completamente gli errori SSL/TLS, rendendo così la superficie d’attacco estremamente ampia. In pratica, la cornice esce dal negozio già compromessa e pronta per essere sfruttata da attori malevoli.

I tentativi di contatto con il produttore originario, ZEASN (oggi noto come Whale TV), sono iniziati a maggio 2025 ma non hanno portato ad alcuna risposta significativa. Gli utenti si trovano così esposti a rischi elevati, senza la possibilità di ricevere patch correttive o aggiornamenti di sicurezza ufficiali, una situazione che evidenzia la mancanza di responsabilità da parte di alcuni attori del settore IoT.

Le contromisure

Le contromisure suggerite dagli esperti di sicurezza sono drastiche ma necessarie: la prima raccomandazione è di scollegare la cornice dalla rete domestica e, se possibile, isolarla su una VLAN separata. È inoltre consigliato bloccare eventuali accessi sospetti a livello di router e firewall e, nei casi più gravi, valutare la dismissione definitiva del dispositivo.

Chi desidera continuare a utilizzare dispositivi smart dovrebbe orientarsi verso produttori affidabili che adottano firmware Android ufficiale, segmentare accuratamente la rete domestica, evitare l’installazione di app non verificate e monitorare costantemente il traffico di rete per individuare eventuali anomalie.