Xiaomi u internacionalnim verzijama svoja dva browsera ima bag zbog koga ne bi trebalo da ih koristite

Mobilni telefoni, 08.04.2019, 03:00 AM

Xiaomi u internacionalnim verzijama svoja dva browsera ima bag zbog koga ne bi trebalo da ih koristite

Ako koristite Xiaomi Mi ili Redmi pametni telefon, odmah prestanite da koristite njegov MI pregledač ili Mint pregledač koji je dostupan u Google Play prodavnici za Android uređaje koje ne proizvodi Xiaomi.

Razlog je to što oba pregledača koje razvija Xiaomi imaju kritičnu ranjivost koja nije ispravljena čak ni nakon što je privatnim kanalima prijavljena kompaniji.

Ranjivost CVE-2019-10875 je otkrio istraživač Arif Kan. Ona omogućava da zlonamerni sajt kontroliše URL-ove prikazane u adresnoj traci.

Budući da je adresna traka pregledača najpouzdaniji i najosnovniji indikator bezbednosti, greška može da se iskoristi da se korisnici Xiaomi uređaja lakše navedu da misle da posećuju pouzdani web sajt a da su zapravo izloženi fišingu ili da su na sajtu sa zlonamernim sadržajem.

Fišing napadi su danas sofisticiraniji i sve teži za uočavanje, a ova ranjivost omogućava da se zaobiđu osnovni indikatori kao što su URL i SSL, što je prvo što korisnik proverava da bi utvrdio da li je sajt lažan.

Dokazni exploit Arifa Kana funkcioniše na najnovijim verzijama oba pregledača - MI Browser (v10.5.6-g) i Mint Browser (v1.5.3).

Arif Kan kaže da problem postoji samo u internacionalnim verzijama oba pregledača, dok domaće verzije, distribuirane sa Xiaomi pametnim telefonima u Kini, nemaju ovu ranjivost. Zato je izrazio sumnju da to možda nije slučajnost.

"Da li kineski proizvođači uređaja namerno čine svoje operativne sisteme, aplikacije i firmware ranjivim za svoje međunarodne korisnike?", kaže Kan.

Čudno je i to što je Xiaomi pošto je obavešten o ovom problemu nagradio istraživača koji je otkrio bag, ali ga nije ispravio.

"Ranjivost utiče na milione korisnika na globalnom nivou, ali je nagrada koja se nudi za to 99 dolara (za Mi Browser) i još 99 dolara (za Mint Browser)", rekao je Kan.

Sajt Hacker News se obratio kompaniji dva dana pre objavljivanja detalja o ovoj ranjivosti sa pitanjem da li kompanija planira da uskoro objaviti verzije pregledača sa ispravkom, ali je Xiaomi dao čudan odgovor da nema zvaničnog ažuriranja i uputio novinare da prate forum “za više detalja u vezi ovoga".

Ovo je drugi problem sa preinstaliranim aplikacijama na uređajima koje proizvodi Xiaomi za koji se saznalo u poslednjih nedelju dana. Prethodno je otkriven problem u antivirusnoj aplikaciji Guard Provider koju razvija kompanija, a koja je isporučena sa više od 150 miliona Android uređaja koje je proizvela kompanija.

Korisnicima Xiaomi uređaja se savetuje da koriste pregledače drugih proizvođača, kao što su Chrome ili Firefox.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Android malver koji se koristi za sajber-špijunažu širi se sakriven u aplikaciji za chat

Istraživači kompanije TrendMicro otkrili su malver za Android uređaje koji je nazvan CallerSpy, za koji se veruje da se koristi za sajber-špijuna... Dalje

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro prikuplja podatke o lokaciji korisnika čak i kada korisnici to onemoguće

iPhone 11 Pro sa pojedinačno onemogućenim praćenjem lokacije za sve aplikacije i sistemske usluge ipak nastavlja da prikuplja informacije o lokac... Dalje

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

Zbog veza aplikacije sa Rusijom, Amerikanci pozvani da deinstaliraju FaceApp sa svojih uređaja

FaceApp, mobilna aplikacija koja omogućava korisnicima da prave selfije a od njih prave starije verzije sebe, smatra se „potencijalnom kontraob... Dalje

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

Android ima opasan bag koji već koriste na desetine malicioznih aplikacija da bi od korisnika ukrale novac i lozinke

U operativnom sistemu Android otkrivena je nova opasna ranjivost koja omogućava malverima da se predstavljaju kao legitimne aplikacije tako da korisn... Dalje

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indija traži reviziju WhatsAppa zbog špijuniranja korisnika

Indijska vlada želi da izvrši reviziju sigurnosnih sistema WhatsAppa nakon otkrića da je špijunski softver Pegasus iskoristio ranjivosti platform... Dalje