Xiaomi u internacionalnim verzijama svoja dva browsera ima bag zbog koga ne bi trebalo da ih koristite
Mobilni telefoni, 08.04.2019, 03:00 AM
Ako koristite Xiaomi Mi ili Redmi pametni telefon, odmah prestanite da koristite njegov MI pregledač ili Mint pregledač koji je dostupan u Google Play prodavnici za Android uređaje koje ne proizvodi Xiaomi.
Razlog je to što oba pregledača koje razvija Xiaomi imaju kritičnu ranjivost koja nije ispravljena čak ni nakon što je privatnim kanalima prijavljena kompaniji.
Ranjivost CVE-2019-10875 je otkrio istraživač Arif Kan. Ona omogućava da zlonamerni sajt kontroliše URL-ove prikazane u adresnoj traci.
Budući da je adresna traka pregledača najpouzdaniji i najosnovniji indikator bezbednosti, greška može da se iskoristi da se korisnici Xiaomi uređaja lakše navedu da misle da posećuju pouzdani web sajt a da su zapravo izloženi fišingu ili da su na sajtu sa zlonamernim sadržajem.
Fišing napadi su danas sofisticiraniji i sve teži za uočavanje, a ova ranjivost omogućava da se zaobiđu osnovni indikatori kao što su URL i SSL, što je prvo što korisnik proverava da bi utvrdio da li je sajt lažan.
Dokazni exploit Arifa Kana funkcioniše na najnovijim verzijama oba pregledača - MI Browser (v10.5.6-g) i Mint Browser (v1.5.3).
Arif Kan kaže da problem postoji samo u internacionalnim verzijama oba pregledača, dok domaće verzije, distribuirane sa Xiaomi pametnim telefonima u Kini, nemaju ovu ranjivost. Zato je izrazio sumnju da to možda nije slučajnost.
"Da li kineski proizvođači uređaja namerno čine svoje operativne sisteme, aplikacije i firmware ranjivim za svoje međunarodne korisnike?", kaže Kan.
Čudno je i to što je Xiaomi pošto je obavešten o ovom problemu nagradio istraživača koji je otkrio bag, ali ga nije ispravio.
"Ranjivost utiče na milione korisnika na globalnom nivou, ali je nagrada koja se nudi za to 99 dolara (za Mi Browser) i još 99 dolara (za Mint Browser)", rekao je Kan.
Sajt Hacker News se obratio kompaniji dva dana pre objavljivanja detalja o ovoj ranjivosti sa pitanjem da li kompanija planira da uskoro objaviti verzije pregledača sa ispravkom, ali je Xiaomi dao čudan odgovor da nema zvaničnog ažuriranja i uputio novinare da prate forum “za više detalja u vezi ovoga".
Ovo je drugi problem sa preinstaliranim aplikacijama na uređajima koje proizvodi Xiaomi za koji se saznalo u poslednjih nedelju dana. Prethodno je otkriven problem u antivirusnoj aplikaciji Guard Provider koju razvija kompanija, a koja je isporučena sa više od 150 miliona Android uređaja koje je proizvela kompanija.
Korisnicima Xiaomi uređaja se savetuje da koriste pregledače drugih proizvođača, kao što su Chrome ili Firefox.
Izdvojeno
Bankarski malver sakriven u antivirusnoj aplikaciji
Istraživači kompanije Fox-IT otkrili su novu verziju bankarskog trojanca „Vultur“ za Android koja u odnosu na ranije verzije ima napredn... Dalje
Google uklonio 28 VPN aplikacija sa Google Play koje su Android telefone krišom pretvarale u proksije
Istraživači iz kompanije HUMAN pronašli su na Google Play 28 VPN aplikacija koje pretvaraju Android uređaje u rezidencijalne proksije koji se vero... Dalje
WhatsApp će blokirati skrinšotove za slike profila
WhatsApp je poslednjih godina uveo niz opcija da bi ojačao bezbednost platforme i korisnika. Tako na WhatsAppu možete da delite privatne fotografije... Dalje
Apple popravio dve nove ranjivosti iOS-a koje se koriste u napadima na iPhone uređaje
Apple je ove nedelje objavio hitna bezbednosna ažuriranja kako bi popravio dve ranjivosti nultog dana iOS-a koje su korišćene u napadima na iPhone... Dalje
Signal uveo podršku za korisnička imena u aplikaciji
Signal je uveo podršku za korisnička imena tako da sada svako može dodati opcionalno korisničko ime koje će ih povezati sa drugima bez deljenja ... Dalje
Pratite nas
Nagrade