Справиться с багом в браузерах Xiaomi пока не удалось - «Новости»

Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Ранее на этой неделе стало известно, что независимый ИБ-исследователь Ариф Хан (Arif Khan) обнаружил опасную проблему CVE-2019-10875, затрагивающую браузер Mi, предустановленный на смартфонах Xiaomi Mi и Redmi, а также браузер Mint, представленный в Google Play и доступный пользователям любых устройств на Android.

Найденный специалистом логический баг позволяет подделать URL в адресной строке уязвимого браузера, что позволит вредоносному сайту выдать себя за любой другой ресурс. Интересно, что уязвимость касается только международных версий обоих браузеров, тогда вариации для китайского рынка, распространяемые с устройствами Xiaomi в Поднебесной, проблеме не подвержены.

Хотя ранее Хан сообщал, что инженеры Xiaomi не пытаются исправить проблему (и называл это подозрительным), теперь выяснилось, что в компании все же пытаются справиться с уязвимостью, впрочем, пока безуспешно.

Как оказалось, 5 апреля 2019 года, с релизом браузера Mint версии 1.6.3 разработчики попытались устранить проблему, но друг Арифа Хана, исследователь известный под псевдонимом Renwa, без труда обошел свежий патч и снова продемонстрировал успешную эксплуатацию проблемы.

Затем была выпущена версия Mint 1.6.4, в которой специалисты Xiaomi попытались учесть свои ошибки, однако избавиться от проблемы CVE-2019-10875 им по-прежнему не удалось. Вчера, 8 апреля 2019 года, компания предприняла уже третью попытку устранения уязвимости, и та вновь оказалась неудачной. Видеоролик ниже наглядно показывает, что Renwa загружает в браузере страницу Yahoo!, тогда как в адресной строке написано, что это мобильная версия Facebook.

Таким образом, браузеры Mi и Mint по-прежнему уязвимы перед багом CVE-2019-10875. Напомню, что Mi предустановлен более чем на 100 млн устройствах Xiaomi, и пока остается надеяться, что владельцы этих гаджетов предпочитают ему браузеры других производителей.