Forschende von Quokka haben kritische Sicherheitsprobleme in digitalen Bilderrahmen identifiziert, die auf der Plattform Uhale (ZEASN-Ökosystem, heute Whale TV) basieren. Mehrere Modelle laden beim Erststart automatisch ein Update der Uhale-App, das in der Version 4.2.0 weitere Komponenten von externen Servern bezieht und beim Systemstart ausführt. So werden Alltagsgeräte unbemerkt zu Botnet-Knoten mit potenzieller Gefahr für Heim- und Firmennetze.
Schadcode-Verteilung über App-Update: Von der Installation zur Persistenz
Beim ersten Einschalten prüfen die Android-basierten Bilderrahmen nach Angaben von Quokka, ob eine neue Version der Uhale-App vorliegt, laden die Version 4.2.0 und starten sich neu. Das aktualisierte App-Paket fordert anschließend eine Payload von Servern in China an und stößt deren Ausführung beim Bootvorgang an.
Die nachgeladene Komponente wird als JAR/DEX im App-Verzeichnis von Uhale abgelegt und bei jedem Start automatisch eingebunden. Dieses einfache, aber effektive Persistenzmuster verankert Schadcode dauerhaft, ohne dass Nutzerinteraktion erforderlich ist. Für Endgeräte mit Android ist dieses Nachlade- und Autostart-Verhalten ein bekanntes Muster missbrauchter OTA-Mechanismen.
Technische Einordnung: Persistenz über JAR/DEX und Autostart
JAR/DEX-Payloads sind klassische Formate für Dalvik/ART in Android. Werden sie im Kontext einer privilegierten App abgelegt und beim Booten referenziert, entsteht eine stabile Ausführungskette. Solche Ketten fallen in die OWASP IoT Top 10 unter Insecure Update Mechanisms und Weak, Guessable, or Hardcoded Credentials.
Artefakte mit Bezug zu Vo1d-Botnet und Mzmess-Malware
Quokkas Analyse zeigt Überschneidungen mit dem Vo1d-Botnet und der Malware-Familie Mzmess – darunter identische Paket-Präfixe, ähnliche Strings und Bezeichner, korrespondierende Netzwerkendpunkte sowie der gleiche Prozess für Zustellung und Ausführung der Module. Vo1d wird seit längerem mit einer hohen Zahl kompromittierter IoT-Geräte in Verbindung gebracht; die Indikatoren stützen den Verdacht, dass auch diese Bilderrahmen als Infrastruktur missbraucht werden.
Ursachenlage unklar: Update-Infrastruktur oder Build-Kette betroffen?
Warum ausgerechnet 4.2.0 als Trigger fungiert, ist offen. Möglich sind eine Kompromittierung der ZEASN/Whale-TV-Update-Pipeline oder eine Manipulation zur Build-Zeit. Laut Quokka erfolgte im Mai 2025 eine Kontaktaufnahme an den Hersteller, bislang ohne Reaktion. Solche Fälle illustrieren das Supply-Chain-Risiko fehlender End-to-End-Signaturprüfungen und unzureichender Integritätskontrollen (vgl. ENISA-Empfehlungen und NISTIR 8259).
17 Schwachstellen, schwache Kryptografie und Adups-OTA
Neben der Nachlade-Logik dokumentiert Quokka 17 Schwachstellen, davon 11 mit CVE-ID. Genannt werden ein hart codierter AES-Schlüssel zur Entschlüsselung von sdkbin-Antworten, schwache Kryptomuster und weitere hart codierte Schlüssel – allesamt Verstöße gegen gängige Kryptografieprinzipien. Teile der Geräte enthalten Adups-OTA-Komponenten und veraltete Bibliotheken, was das Risiko unsicherer Updates erhöht.
In der IoT-Praxis führen Drittanbieter-OTA und Legacy-Abhängigkeiten häufig zu lückenhaften Signaturprüfungen und erleichtern die Einschleusung von Schadcode über die Lieferkette. Diese Beobachtungen sind konsistent mit den OWASP IoT Top 10 und BSI-Hinweisen zu Update-Sicherheit.
Auswirkungen: Von DDoS bis Laterale Bewegung im Netzwerk
Die kompromittierten Bilderrahmen können für DDoS-Angriffe, als Proxies oder für Klickbetrug missbraucht werden. Obwohl die lokalen Datenbestände begrenzt sind, eröffnet der Netzwerkzugang die Möglichkeit zur lateralen Bewegung gegen weitere Geräte im gleichen Subnetz – ein relevanter Risikofaktor für Heim- und Unternehmensumgebungen.
Skalierung durch White-Label-Vertrieb erschwert Sichtbarkeit
Die tatsächliche Verbreitung ist schwer zu erfassen, weil Uhale-Geräte unter vielen Marken verkauft werden. Indirekte Kennzahlen deuten auf eine breite Basis: Die Uhale-App verzeichnet über 500.000 Google-Play-Downloads, im App Store mehr als 11.000 Bewertungen und die entsprechenden Modelle sammelten auf Amazon etwa 1.000 Rezensionen. Das erschwert Inventarisierung und Incident Response.
Empfohlene Gegenmaßnahmen für IoT in Haushalt und Unternehmen
IoT-Assets in separate VLANs oder Gastnetze isolieren und ausgehende Verbindungen von Bilderrahmen restriktiv filtern (Egress-Filter, DNS- und HTTP-Monitoring). Bei Möglichkeit Auto-Updates deaktivieren und die Uhale-App-Version prüfen; 4.2.0 vermeiden.
Erstkonfiguration möglichst offline durchführen, Netzwerkverkehr auf Anomalien überwachen, und IoT-Beschaffung zentral steuern: Sicherheitszertifikate anfordern, signierte OTA-Updates mit Verifizierung verlangen, SBOM-Transparenz einfordern und bevorzugt offizielle Android-Builds mit Google Play Protect einsetzen.
Organisationen sollten Richtlinien gemäß ENISA, NISTIR 8259 und OWASP IoT Top 10 umsetzen, inklusive Asset-Management, Patch-Management, Logging/Alerting und regelmäßiger Überprüfung von Supply-Chain-Abhäng
