Ett säkerhetsfel som upptäckts i Xiaomis webbläsare tillåter hackare att utge sig för att vara webbplatser. Det sistnämnda, som just har fixats av den kinesiska elektronikjätten, är särskilt öppet för nätfiskekampanjer och omdirigerar trafik till trasiga webbplatser.
Det var säkerhetsforskaren Arif Khan som gjorde denna olyckliga upptäckt. I en blogganteckning beskriver den intresserade parten omfattningen av sina resultat. Vi är särskilt medvetna om att webbläsarna MI Browser och Mint Browser Xiaomi är alla drabbade. Den första är webbläsaren som tillhandahålls som standard på alla Xiaomi Mi- och Redmi-smarttelefoner, medan den andra är nedladdningsbar från Google Play.
Miljontals användare påverkas…men ingen i Kina
Tydligt och detaljerat av Arif Khan i en demonstrationsvideo, webbläsare MI Browser och Mint . Browser från Xiaomi kommer bara att visa “www.google.com” för en fullständig fråga, till exempel den tvetydiga titeln “https://www.evilsite.com?q=www.google.com”. Tillräckligt för att tillåta hackare att skicka tillbaka flera användare till webbplatser som i bästa fall är komprometterade, i värsta fall helt trasiga … med alla de brister detta innebär när det gäller säkerhet.
Som 01Net specificerar påverkar denna sårbarhet (som svar på namnet CVE-2019-10875) miljontals användare av smartphones med Xiaomi Mi och Redmi-stämplar. I synnerhet kan det senare riktas mot reklam- och nätfiskekampanjer.
Kanske mer spännande, Arif Khan hävdade att denna sårbarhet inte skulle vara relevant för användare av Xiaomi-smarttelefoner som distribueras i Kina. Säkerhetsexperten gick till och med så långt som att antyda att detta säkerhetshål skulle vara målmedveten integration av Xiaomi på mobiltelefoner som säljs på den internationella marknaden. En hypotes måste fortfarande bevisas logiskt.
Xiaomi är informerad, en patch håller på att rullas ut
Xiaomi kontaktades den 5 april av The Hacker News och har bekräftat att de är medvetna om närvaron av denna sårbarhet i sin webbläsare. Det kommer dock att bli nödvändigt att vänta till måndagen den 8 april för att en talesperson för varumärket ska prata med sajten att en patch har installerats genom två uppdateringar av MI Browser och Mint Browser.
I sitt pressmeddelande uppgav denna talesman helt enkelt att felet var ” konsekvenser av ytterligare funktion “. Sikta sedan förbättrar användarupplevelsen genom att dölja hela webbadressen, så att endast söktermer visas “Vi lär.
- Pixel 3a och fler tillbehör som visades i Google Play Butik togs sedan bort
- Rekord för ny Xiaomi-laddare: 4000mAh batteri fullt på 17 minuter
- Xiaomi M365 skoter kan hackas för plötslig acceleration eller plötslig inbromsning
