Bleeping Computerは11月13日(米国時間)、「Popular Android-based photo frames download malware on boot」において、一部のデジタルフォトフレームから重大な脆弱性が発見されたと報じた。一部の製品が起動時にマルウェアをダウンロードして実行するという。

  • Popular Android-based photo frames download malware on boot

    Popular Android-based photo frames download malware on boot

脆弱性に関する情報

脆弱性はセキュリティ企業「Quokka」の調査で発見された。同社によると、Uhaleを搭載したデジタルフォトフレームから複数の脆弱性が発見され、遠隔から認証を受けていない攻撃者にデバイスを完全に制御される可能性があるという。

発見された脆弱性(CVE)は次のとおり。本稿執筆時点において、CVEの詳細情報および共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)は公開されていない。

  • CVE-2025-58392、CVE-2025-58397 - 安全ではないTrustManager実装の脆弱性。中間者攻撃(MITM: Man-in-the-middle attack)可能な攻撃者は、管理者権限で任意のコードを実行できる可能性がある
  • CVE-2025-58388 - 不十分な入力検証の脆弱性。遠隔から任意のシェルコマンドの実行および任意のAPKファイルをインストールできる可能性がある
  • CVE-2025-58396 - 不十分な認証の脆弱性。ローカルで認証を受けていない状態で、任意のファイルの保存および削除を実行できる可能性がある
  • CVE-2025-58391、CVE-2025-58387 - パストラバーサルの脆弱性。特別に細工されたZIPファイルを展開すると、任意のファイルを変更される可能性がある
  • CVE-2025-58394、CVE-2025-58393 - 安全でないオペレーティングシステムを実行する脆弱性。Androidのセキュリティが機能しておらず、デバイスにアクセス可能な攻撃者は自由に侵害することができる
  • CVE-2025-58395 - SQLインジェクションの脆弱性
  • CVE-2025-58390 - 安全ではないWebViewを実行する脆弱性。デバイスに表示されるデータを改ざんまたは窃取できる可能性がある
  • CVE-2025-58389 - ログを漏洩する脆弱性

影響を受ける製品と対策

Bleeping Computerによると、Uhaleを搭載したデジタルフォトフレームはさまざまなブランドから販売されているという。そのため影響を受けるデバイスの特定および被害ユーザーの推定は困難とされる。また、UhaleアプリはGoogle PlayおよびApple App Storeからも提供されており、広範囲に影響している可能性が指摘されている。

Quokkaの調査対象となったデバイスの一部は、起動時に中国に設置されたサーバからマルウェアをダウンロードすることが確認されている。安全なデバイスと危険なデバイスを識別する方法は明らかになっておらず、Uhaleと記載のあるすべてのデジタルフォトフレームにリスクがあると評価されている。

脆弱性の影響を受ける製品は、アップデートによって侵害される可能性がある。信用できるベンダーが配布する正規のアップデートをインストールする場合においても、慎重な対応が必要とされる。安全かつ確実な対策方法がないことから、当該製品の利用者には速やかなデバイスの使用中止または隔離が推奨されている。