Een kwetsbaarheid in een SuperNote-tablet van fabrikant Ratta Software maakt het mogelijk om het apparaat zonder enige interactie van gebruikers te voorzien van een backdoor. Dat meldt securitybedrijf PRIZM Labs op basis van eigen onderzoek. De fabrikant zou inmiddels een update voor de SuperNote A6 X2 Nomad hebben uitgebracht.

De onderzoekers ontdekten dat het door middel van path traversal en een openstaande TCP-poort mogelijk is voor een aanvaller op hetzelfde netwerk om een malafide update op de tablet te plaatsen. De SuperNote maakt gebruik van gesigneerde updates. De onderzoekers ontdekten echter door 'te googelen' development keys waarmee ze hun malafide update konden signeren. Zodra de malafide update in de juiste map op de tablet is geplaatst zal die uiteindelijk automatisch worden geïnstalleerd, zonder enige interactie van de gebruiker.

De kwetsbaarheid (CVE-2025-32409) werd op 26 juli vorig jaar aan Ratta Software gemeld. De fabrikant stelde dat een update mede wegens personeelsverloop op zich liet wachten. Vervolgens stelde het bedrijf dat er in december een update zou verschijnen om het probleem te verhelpen. Daarop besloot PRIZM Labs de publicatie tot december uit te stellen, maar details zijn pas deze week bekendgemaakt. In december is echter geen update verschenen en ook in de changelog van andere verschenen updates wordt nergens melding gemaakt van een verholpen kwetsbaarheid.