Một lỗ hổng bảo mật được phát hiện trong trình duyệt web của Xiaomi cho phép tin tặc mạo danh các trang web. Điều thứ hai, vừa được sửa chữa bởi gã khổng lồ điện tử Trung Quốc, đáng chú ý là bỏ ngỏ cho các chiến dịch lừa đảo cũng như chuyển hướng lưu lượng truy cập đến các trang web bị hỏng.
Chính nhà nghiên cứu bảo mật Arif Khan đã đưa ra phát hiện đáng tiếc này. Trong một ghi chú trên blog, bên quan tâm nêu chi tiết về mức độ phát hiện của mình. Chúng tôi đặc biệt biết rằng các trình duyệt web MI Browser và Mint Browser của Xiaomi đều bị ảnh hưởng. Đầu tiên là trình duyệt được cung cấp theo mặc định trên tất cả smartphones Xiaomi Mi và Redmi, trong khi thứ hai có thể tải xuống từ Google Play.
Hàng triệu người dùng bị ảnh hưởng … nhưng không có ai ở Trung Quốc
Rõ ràng và chi tiết bởi Arif Khan trong một video trình diễn, các trình duyệt Trình duyệt MI và Trình duyệt Mint từ Xiaomi sẽ chỉ hiển thị “www.google.com” cho một truy vấn hoàn chỉnh, chẳng hạn như tiêu đề không rõ ràng “https://www.evilsite.com?q=www.google.com”. Đủ để cho phép tin tặc đưa nhiều người dùng quay trở lại các trang web bị xâm nhập tốt nhất, tệ nhất là hoàn toàn bị hỏng … với tất cả những sai sót mà điều này ngụ ý về mặt bảo mật.
Như 01Net chỉ định, lỗ hổng này (phản ứng với tên của CVE-2019-10875) ảnh hưởng đến hàng triệu người dùng của smartphones dán tem Xiaomi Mi và Redmi. Đặc biệt, sau này có thể được nhắm mục tiêu bởi các chiến dịch quảng cáo và lừa đảo.
Có lẽ hấp dẫn hơn, Arif Khan lập luận rằng lỗ hổng này sẽ không liên quan đến người dùng smartphones Xiaomi phân phối tại Trung Quốc. Chuyên gia bảo mật thậm chí còn đi xa hơn khi ngụ ý rằng lỗ hổng bảo mật này sẽ là tích hợp có chủ đích của Xiaomi trên điện thoại di động được bán trên thị trường quốc tế. Một giả thuyết vẫn cần được chứng minh một cách hợp lý.
Xiaomi được biết, một bản vá đang được triển khai
Đã liên hệ với cái này 5 Tháng 4 của The Hacker News, Xiaomi đã xác nhận rằng họ nhận thức được sự hiện diện của lỗ hổng này trong trình duyệt của mình. Tuy nhiên, sẽ cần phải đợi đến thứ Hai 8 Tháng 4 để người phát ngôn của thương hiệu nói với chuyên trang rằng một bản vá đã được triển khai thông qua hai bản cập nhật cho Trình duyệt MI và Trình duyệt Mint.
Trong thông cáo báo chí của mình, người phát ngôn này chỉ đơn giản nói rằng lỗi này là ” hậu quả của chức năng bổ sung “. Sau đó nhắm đến cải thiện trải nghiệm người dùng bằng cách ẩn URL đầy đủ, vì vậy chỉ các cụm từ tìm kiếm mới xuất hiện “, chúng ta học hỏi.
- Pixel 3a và nhiều phụ kiện khác được tiết lộ trên Google Play Storesau đó bị loại bỏ
- Kỷ lục cho bộ sạc Xiaomi mới: pin 4000mAh đầy trong 17 phút
- Xe tay ga Xiaomi M365 có thể bị hack để tăng tốc đột ngột hoặc phanh gấp
