Xiaomi u internacionalnim verzijama svoja dva browsera ima bag zbog koga ne bi trebalo da ih koristite

Mobilni telefoni, 08.04.2019, 03:00 AM

Ako koristite Xiaomi Mi ili Redmi pametni telefon, odmah prestanite da koristite njegov MI pregledač ili Mint pregledač koji je dostupan u Google Play prodavnici za Android uređaje koje ne proizvodi Xiaomi.

Razlog je to što oba pregledača koje razvija Xiaomi imaju kritičnu ranjivost koja nije ispravljena čak ni nakon što je privatnim kanalima prijavljena kompaniji.

Ranjivost CVE-2019-10875 je otkrio istraživač Arif Kan. Ona omogućava da zlonamerni sajt kontroliše URL-ove prikazane u adresnoj traci.

Budući da je adresna traka pregledača najpouzdaniji i najosnovniji indikator bezbednosti, greška može da se iskoristi da se korisnici Xiaomi uređaja lakše navedu da misle da posećuju pouzdani web sajt a da su zapravo izloženi fišingu ili da su na sajtu sa zlonamernim sadržajem.

Fišing napadi su danas sofisticiraniji i sve teži za uočavanje, a ova ranjivost omogućava da se zaobiđu osnovni indikatori kao što su URL i SSL, što je prvo što korisnik proverava da bi utvrdio da li je sajt lažan.

Dokazni exploit Arifa Kana funkcioniše na najnovijim verzijama oba pregledača - MI Browser (v10.5.6-g) i Mint Browser (v1.5.3).

Arif Kan kaže da problem postoji samo u internacionalnim verzijama oba pregledača, dok domaće verzije, distribuirane sa Xiaomi pametnim telefonima u Kini, nemaju ovu ranjivost. Zato je izrazio sumnju da to možda nije slučajnost.

"Da li kineski proizvođači uređaja namerno čine svoje operativne sisteme, aplikacije i firmware ranjivim za svoje međunarodne korisnike?", kaže Kan.

Čudno je i to što je Xiaomi pošto je obavešten o ovom problemu nagradio istraživača koji je otkrio bag, ali ga nije ispravio.

"Ranjivost utiče na milione korisnika na globalnom nivou, ali je nagrada koja se nudi za to 99 dolara (za Mi Browser) i još 99 dolara (za Mint Browser)", rekao je Kan.

Sajt Hacker News se obratio kompaniji dva dana pre objavljivanja detalja o ovoj ranjivosti sa pitanjem da li kompanija planira da uskoro objaviti verzije pregledača sa ispravkom, ali je Xiaomi dao čudan odgovor da nema zvaničnog ažuriranja i uputio novinare da prate forum “za više detalja u vezi ovoga".

Ovo je drugi problem sa preinstaliranim aplikacijama na uređajima koje proizvodi Xiaomi za koji se saznalo u poslednjih nedelju dana. Prethodno je otkriven problem u antivirusnoj aplikaciji Guard Provider koju razvija kompanija, a koja je isporučena sa više od 150 miliona Android uređaja koje je proizvela kompanija.

Korisnicima Xiaomi uređaja se savetuje da koriste pregledače drugih proizvođača, kao što su Chrome ili Firefox.