8 Апреля, 2019

Недостаток встроенного в браузер приложения Xiaomi позволяет хакерам подделывать URL-адреса

Владимир Безмалый

ВНИМАНИЕ! — будьте осторожны, если вы используете смартфон Xiaomi Mi или Redmi, вам следует немедленно прекратить использовать его встроенный браузер MI или браузер Mint, доступный в магазине Google Play для устройств Android, не являющихся Xiaomi.

Это связано с тем, что оба приложения для веб-браузера, созданные Xiaomi, уязвимы к критической уязвимости, которая еще не была исправлена даже после того, как компания сообщила об этом в частном порядке, сообщил The Hacker News исследователь.

Уязвимость, идентифицированная как CVE-2019-10875 и обнаруженная исследователем безопасности Арифом Ханом , это проблема подделки адресной строки браузера, которая возникает из-за логической ошибки в интерфейсе браузера, позволяющей вредоносному веб-сайту управлять URL-адресами, отображаемыми в адресной строке.

Согласно рекомендациям, уязвимые браузеры неправильно обрабатывают параметр запроса «q» в URL-адресах, поэтому не могут отобразить часть URL-адреса https перед подстрокой? Q = в адресной строке. Поскольку адресная строка веб-браузера является наиболее надежным и важным индикатором безопасности, этот недостаток можно использовать, чтобы обманным путем заставить пользователей Xiaomi думать, что они посещают надежный веб-сайт, когда на самом деле получают фишинговый или вредоносный контент.

Сегодняшние фишинговые атаки становятся все более изощренными и их все труднее обнаружить, и эта уязвимость, связанная с подделкой URL-адресов, поднимает ее на другой уровень, позволяя обойти основные показатели, такие как URL-адреса и SSL, которые в первую очередь проверяет пользователь, чтобы определить, является ли сайт уязвимым.

Вот как атакующий может подменить URLs в браузерах Mint или MI Browser:

Добавить параметр «?q=» parameter после любого URL

Например ? https://phishing-site.com?q=facebook.comphishing-site.com/?q=facebook.com

Xiaomi браузер отобразит “ http://facebook.com ” в строке URL однако загрузит контент с фишингового сайта

Данная уязвимость работает в последних версиях обоих веб-браузеров — MI Browser (v10.5.6-g) и Mint Browser (v1.5.3).

Самое интересное состоит в том, что по утверждению исследователя проблема затрагивает только международные варианты обоих веб-браузеров, хотя отечественные версии, распространяемые со смартфонами Xiaomi в Китае, не содержат этой уязвимости.

Другая интересная, хотя и странная вещь заключается в том, что, сообщив об этой проблеме, Xiaomi наградил исследователя за ошибку, но оставил уязвимость без исправления.

Эта уязвимость затрагивает миллионы пользователей во всем мире, но предлагаемая награда как таковая составила 99 долларов (для Mi Browser) и еще 99 долларов (для Mint Browser).

Это вторая недавно обнаруженная серьезная проблема, которую исследователи выявили в предустановленных приложениях на более чем 150 миллионах устройств Android, изготовленных Xiaomi.

Буквально вчера The Hacker News опубликовали подробности отчета, объясняющего, как злоумышленники могли превратить предустановленное приложение безопасности на телефонах Xiaomi , называемое Guard Provider, в вредоносное ПО, используя многочисленные уязвимости в приложении.

Оригинал