Trình duyệt web trên smartphone Xiaomi gặp lỗ hổng bảo mật

Thứ Ba, 09/04/2019, 09:04
Một lỗ hổng bảo mật mới vừa được nhà nghiên cứu bảo mật Arif Khan phát hiện liên quan đến trình duyệt web trên các smartphone đến từ Xiaomi.


Thông tin trên Hacker News, nhà nghiên cứu bảo mật Arif Khan mới đây đã đưa ra báo cáo về một lỗ hổng bảo mật liên quan đến trình duyệt web MI vốn được Xiaomi tích hợp sẵn trên trên hai dòng smartphone là dòng Mi và dòng Redmi. Cùng với đó, cảnh báo cũng nhắc tới một trình duyệt khác được Xiaomi phát triển cho các thiết bị Android không phải của hãng là đó là trình duyệt Mint.

Cụ thể, cảnh báo của nhà nghiên cứu bảo mật Arif Khan cho biết, cả hai trình duyệt của Xiaomi đều vướng phải lỗ hổng bảo mật có mã CVE-2019-10875 được bắt nguồn từ tham số q trên thanh địa chỉ khiến người dùng vô tình bỏ qua những chỉ số an toàn như URL và SSL vốn được sử dụng để xác định mức độ an toàn của một trang web.

Với việc tồn tại lỗ hổng này trên trình duyệt của Xiaomi, tin tặc hoàn toàn có thể giả mạo thanh địa chỉ một website nào đó để dẫn dụ người dùng truy cập vào những trang web độc hại được chúng tạo ra có chữa mã độc. Để rồi khi nạn nhân vô tình rơi vào bẫy, mã độc được kích hoạt và tin tặc có thể vô tự thu nhặt mọi thông tin quan trong của nạn nhân như tài khoản ngân hàng, mật khẩu hay bất cứ gì chúng cần.

Thanh địa chỉ trình duyệt hiển thị sai.

Hiện tại, lỗ hổng được phát hiện tồn tại trên phiên bản v10.5.6-g mới nhất của trình duyệt Mi và phiên bản  v1.5.3 của trình duyệt Mint đang được Xiaomi cung cấp cho người dùng.

Đáng chú ý, báo cáo của nhà nghiên cứu bảo mật Arif Khan cũng cho biết lỗ hổng trên chỉ xảy ra với các phiên bản quốc tế của cả hai trình duyệt web, trong khi các phiên bản nội địa (tiếng Trung Quốc) cũng được phân phối bởi Xiaomi ở Trung Quốc không hề chứa lỗi này.

Trước đó, các chuyên gia bảo mật cũng phát hiện ứng dụng bảo vệ Guard Carrier vốn được Xiaomi phát triển riêng cho các smartphone của hãng này với chức năng chính là chống virus cũng tồn tại lỗ hổng bảo mật.

B.C (Theo Hacker News)
.
.
.