Xiaomi u internacionalnim verzijama svoja dva browsera ima bag zbog koga ne bi trebalo da ih koristite

Mobilni telefoni, 08.04.2019, 03:00 AM

Xiaomi u internacionalnim verzijama svoja dva browsera ima bag zbog koga ne bi trebalo da ih koristite

Ako koristite Xiaomi Mi ili Redmi pametni telefon, odmah prestanite da koristite njegov MI pregledač ili Mint pregledač koji je dostupan u Google Play prodavnici za Android uređaje koje ne proizvodi Xiaomi.

Razlog je to što oba pregledača koje razvija Xiaomi imaju kritičnu ranjivost koja nije ispravljena čak ni nakon što je privatnim kanalima prijavljena kompaniji.

Ranjivost CVE-2019-10875 je otkrio istraživač Arif Kan. Ona omogućava da zlonamerni sajt kontroliše URL-ove prikazane u adresnoj traci.

Budući da je adresna traka pregledača najpouzdaniji i najosnovniji indikator bezbednosti, greška može da se iskoristi da se korisnici Xiaomi uređaja lakše navedu da misle da posećuju pouzdani web sajt a da su zapravo izloženi fišingu ili da su na sajtu sa zlonamernim sadržajem.

Fišing napadi su danas sofisticiraniji i sve teži za uočavanje, a ova ranjivost omogućava da se zaobiđu osnovni indikatori kao što su URL i SSL, što je prvo što korisnik proverava da bi utvrdio da li je sajt lažan.

Dokazni exploit Arifa Kana funkcioniše na najnovijim verzijama oba pregledača - MI Browser (v10.5.6-g) i Mint Browser (v1.5.3).

Arif Kan kaže da problem postoji samo u internacionalnim verzijama oba pregledača, dok domaće verzije, distribuirane sa Xiaomi pametnim telefonima u Kini, nemaju ovu ranjivost. Zato je izrazio sumnju da to možda nije slučajnost.

"Da li kineski proizvođači uređaja namerno čine svoje operativne sisteme, aplikacije i firmware ranjivim za svoje međunarodne korisnike?", kaže Kan.

Čudno je i to što je Xiaomi pošto je obavešten o ovom problemu nagradio istraživača koji je otkrio bag, ali ga nije ispravio.

"Ranjivost utiče na milione korisnika na globalnom nivou, ali je nagrada koja se nudi za to 99 dolara (za Mi Browser) i još 99 dolara (za Mint Browser)", rekao je Kan.

Sajt Hacker News se obratio kompaniji dva dana pre objavljivanja detalja o ovoj ranjivosti sa pitanjem da li kompanija planira da uskoro objaviti verzije pregledača sa ispravkom, ali je Xiaomi dao čudan odgovor da nema zvaničnog ažuriranja i uputio novinare da prate forum “za više detalja u vezi ovoga".

Ovo je drugi problem sa preinstaliranim aplikacijama na uređajima koje proizvodi Xiaomi za koji se saznalo u poslednjih nedelju dana. Prethodno je otkriven problem u antivirusnoj aplikaciji Guard Provider koju razvija kompanija, a koja je isporučena sa više od 150 miliona Android uređaja koje je proizvela kompanija.

Korisnicima Xiaomi uređaja se savetuje da koriste pregledače drugih proizvođača, kao što su Chrome ili Firefox.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi Android trojanac koristi push notifikacije telefona da bi odveo korisnike na sajtove gde mogu biti prevareni

Novi Android trojanac koristi push notifikacije telefona da bi odveo korisnike na sajtove gde mogu biti prevareni

Istraživači ruske firme Doctor Web otkrili su u Google Play prodavnici novog trojanca za Android koji koristi push notifikacije za preusmeravanje ko... Dalje

Huawei telefoni prikazivali reklame Booking.com na zaključanom ekranu

Huawei telefoni prikazivali reklame Booking.com na zaključanom ekranu

Huawei je uklonio reklame koje su se krajem prošle nedelje misteriozno pojavile na zaključanim ekranima nekoliko novih modela pametnih telefona. Kom... Dalje

Huawei: Ne brinite, Facebook i WhatsApp će raditi na našim telefonima

Huawei: Ne brinite, Facebook i WhatsApp će raditi na našim telefonima

Jedna od posledica zabrane za Huawei koju je vlada Sjedinjenih Država najavila sredinom maja je da kineska tehnološka kompanija više ne može da ko... Dalje

Svoj Android telefon možete koristiti kao sigurnosni ključ za dvofaktornu autentifikaciju na iOS uređajima

Svoj Android telefon možete koristiti kao sigurnosni ključ za dvofaktornu autentifikaciju na iOS uređajima

Google sada omogućava korisnicima iPad i iPhone uređaja da potvrde prijavljivanje na Google i Google Cloud usluge pomoću sigurnosnih ključeva ug... Dalje

Huawei pozvao programere Android aplikacija da svoje aplikacije objave u njegovoj prodavnici

Huawei pozvao programere Android aplikacija da svoje aplikacije objave u njegovoj prodavnici

Sredinom prošlog meseca, vest da je Google opozvao Huaweijevu Android licencu uzdrmala je tehnološku zajednicu ali i obične korisnike. Od tada smo ... Dalje