Новые информационные технологии и программное обеспечение
  RSS    

Полезно



Браузер, предустановленный на миллионах смартфонов Xiaomi, содержит уязвимость, позволяющую вредоносным сайтам подделывать URL-адреса

Если вы владеете смартфоном Xiaomi Mi или Redmi, вам следует немедленно прекратить использовать встроенный браузер MI и браузер Mint, доступные в магазине Google Play для устройств Android.  По сообщениям The Hacker News, оба приложения для навигации по сети, созданные Xiaomi, имеют критическую уязвимость, которая до сих пор не устранена, ​​даже после того, как компания сама сообщила об этом в частном порядке. 


Уязвимость, идентифицированная как CVE-2019-10875 и обнаруженная специалистом по информационной безопасности Арифом Ханом, позволяет подделать адресную строку браузера, вследствие логической ошибки в интерфейсе браузера, позволяющей вредоносному веб-сайту управлять URL-адресами, отображаемыми в адресной строке. 

Поскольку адресная строка веб-браузера является наиболее надежным и важным индикатором безопасности, этот недостаток можно использовать, чтобы обманным путем заставить пользователей Xiaomi считать, что они посещают надежный веб-сайт, хотя на самом деле уже скачали фишинговый или вредоносный контент, как показано на видео ниже. 


Современные фишинговые атаки становятся все более изощренными и их все труднее обнаружить, и эта уязвимость, связанная с подделкой URL-адресов, поднимает ее на другой уровень, позволяя обойти такие важные моменты, как использование URL и SSL, которые используются для определения браузером степени доверия к посещаемому сайту.


Hacker News самостоятельно проверили уязвимость, используя PoC, и могут подтвердить, что брешь до сих пор не устранена и уязвимость присутствует в последних версиях обоих веб-браузеров - MI Browser (v10.5.6-g) и Mint Browser (v1.5.3):

 

проблема с безопасностью смартфонов Xiaomi

 

Надо отметить, что проблема затрагивает только международные варианты обоих веб-браузеров. Родные, китайские, версии, распространяемые со смартфонами Xiaomi в Китае, не содержат этой уязвимости.

"Больше всего меня поразило то, что эта ошибка безопасности была только у  международных версий смартфонов, а не у китайских версий или версий рассчитанных на  внутренний. Не было ли это преднамеренной ошибкой" - задаются вопросом специалисты по информационной безопасности. «Неужели китайские производители устройств намеренно делают свои ОС, приложения и прошивки уязвимыми для своих международных пользователей?»


Другая интересная, хотя и странная вещь заключается в том, что, сообщив об этой проблеме, с одной стороны, Xiaomi наградил исследователя за обнаружение ошибку, а с другой - оставил уязвимость без исправления.

«Эта уязвимость затрагивает миллионы пользователей во всем мире. А награда как таковая составила 99 долларов (для Mi Browser) и еще 99 долларов (для Mint Browser)», - сказал исследователь. 


The Hacker News связались с Xiaomi за два дня до публикации этого отчета для получения дополнительных комментариев и выяснили, планирует ли компания выпустить исправленную версию в ближайшее время, но поставщик мобильных устройств дал странный ответ.

«Я хотел бы сообщить вам, что по состоянию на данный момент нет официального обновления по этому вопросу. Тем не менее, попросил бы вас оставаться на связи на нашем форуме для получения дополнительной информации в этом отношении», - сказали в компании.


Это уже вторая из недавно обнаруженных проблема, которую исследователи выявили в предустановленных приложениях на более чем 150 миллионах устройств Android, изготовленных Xiaomi.

 

Буквально недавно был опубликован отчет, объясняющий, как злоумышленники могли превратить предустановленное приложение безопасности на телефонах Xiaomi, называемое Guard Provider во вредоносное ПО, используя многочисленные уязвимости в приложении.

Подведем итоги. Пользователям Android настоятельно рекомендуется использовать современные веб-браузеры, которые не подвержены этой уязвимости, такие как Chrome или Firefox.

Если вы используете браузер Microsoft Edge или Internet Explorer на своем рабочем столе, вам также следует избегать их использования, поскольку оба браузера также содержат критическую уязвимость, которая еще не была исправлена ​​техническим гигантом.

Поделиться:

 

 

Оставьте свой комментарий!

Tags:

Комментарии   

 
0 # Berniece 12.05.2019 22:31
вот черт!!! надо обновляться
Сообщить модератору
 

Добавить комментарий


Защитный код
Обновить


 

Самое читаемое:

Быстрый поиск

Подписаться в соцсетях

вКонтакте · Twitter · Facebook · Telegram

Инструкции к программам

Инструкции к программам

2019 Новые информационные технологии