Uhale markalı Android tabanlı dijital fotoğraf çerçevelerinin ciddi güvenlik açıkları ile birlikte geldiği ve bazılarının başlangıçta kötü amaçlı yazılımları indirdiği tespit edilmiştir. Mobil güvenlik şirketi Quokka, Uhale uygulaması üzerinde derinlemesine bir güvenlik değerlendirmesi yaparak, Mezmess ve Voi1d kötü amaçlı yazılım aileleri ile bağlantılı davranışlar bulmuştur.
Uzmanlar, bu sorunları Uhale platformunun arkasındaki Çinli firma ZEASN’a bildirmiştir, ancak Mayıs ayından bu yana kendilerine yapılan bildirimlere yanıt verilmemiştir.
Kötü Amaçlı Yazılımın Otomatik Teslimatı
Analiz edilen Uhale fotoğraf çerçevelerinin birçoğu, başlangıçta Çin merkezli sunuculardan kötü amaçlı yükleri indirmekte ve çalıştırmaktadır. Quokka araştırmacıları, “Başlangıçta, birçok incelenen çerçeve Uhale uygulaması sürüm 4.2.0 için güncelleme kontrol etmektedir,” açıklamasında bulunmuştur. Cihaz bu yeni sürümü yükleyip yeniden başlatır. Yeniden başlatma sonrasında, güncellenmiş Uhale uygulaması kötü amaçlı yazılımı indirmeye ve çalıştırmaya başlar.”
İndirilen JAR/DEX dosyası, Uhale uygulamasının dosya dizini altına kaydedilmektedir ve her cihaz açılışında yüklenip çalıştırılmaktadır. Quokka’nın incelediği cihazların SELinux güvenlik modülü devre dışı bırakılmış, varsayılan olarak köklü ve birçok sistem bileşeni AOSP test anahtarlarıyla imzalanmıştır.
Kaynak: Quokka
Araştırmacılar, indirilen yüklerin Vo1d botnet ve Mzmess kötü amaçlı yazılım aileleriyle bağlantılı olduğunu bulmuştur. Ancak cihazların nasıl enfekte olduğu belirsizliğini korumaktadır.
Çok Sayıda Güvenlik Açığı
Kötü amaçlı yazılım teslimatı dışında, Quokka araştırmacıları bir düzineden fazla güvenlik açığı tespit etmiştir. Raporlarda toplamda 17 güvenlik sorunu bildirilmiş olup, bunlardan 11’ine CVE-ID atanmıştır. Aşağıda en kayda değer olanlar sıralanmıştır:
- CVE-2025-58392 / CVE-2025-58397 – Güvensiz bir TrustManager uygulaması, sahte şifrelenmiş yanıtların man-in-the-middle enjeksiyonuna izin vererek, etkilenen cihazlarda root olarak uzaktan kod yürütmesine neden olmaktadır.
- CVE-2025-58388 – Uygulama güncelleme süreci, sanitasyon yapılmamış dosya adlarını doğrudan kabuk komutlarına geçirerek, komut enjeksiyonu ve rastgele APK’ların uzaktan kurulmasına olanak tanımaktadır.
- CVE-2025-58394 – Test edilen tüm çerçeveler SELinux devre dışı, varsayılan olarak köklü ve kamuya açık AOSP test anahtarlarını kullanarak, kutudan çıktıkları gibi tamamen tehlikeye maruz kalmaktadırlar.
- CVE-2025-58396 – Önceden yüklenmiş uygulama, TCP port 17802 üzerinde kimlik doğrulamasız yüklemelere izin veren bir dosya sunucusu açmaktadır.
- CVE-2025-58390 – Uygulamanın WebView’ları SSL/TLS hatalarını görmezden gelir ve karışık içeriklere izin vererek, saldırganların veri enjekte etmesine veya cihazda görüntülenen verileri kesmesine olanak tanımaktadır.
Bu ürünlerin çoğu farklı markalar altında pazarlanmaktadır ve kullanıcılara kesin bir tahmin yapmayı zorlaştırmaktadır. Uhale uygulaması, Google Play’de 500,000’den fazla indirme ve App Store’da 11,000 üzerinde kullanıcı değerlendirmesi almıştır.
Sonuç olarak, tüketicilerin yalnızca resmi Android görüntüleri ve yerleşik kötü amaçlı yazılım korumaları bulunan, güvenilir markalardan elektrikli cihazlar satın alması önerilmektedir.
