В глобальной версии MIUI обнаружена уязвимость

5 апреля один из авторов блога andmp.com, посвящённого кибербезопасности, Ариф Хан сделал заявление о том, что им была обнаружена уязвимость в предустановленных браузерах на смартфонах Xiaomi, то есть Mi Browser и Mint Browser. Механизм её работы интересен и при этом очень прост, но самое интересное — она содержится только в глобальной версии прошивки, но отсутствует в китайской. Это может быть свидетельством того, что оказалась она там не случайно.

Исследователь утверждает, что открытие было сделано случайно и никаких специальных усилий для этого он не прилагал — просто решил проверить  функцию в браузере, которая, как выяснилось, работает не совсем так, как ожидалось.

Суть уязвимости в том, что поле строки адреса в браузере совмещается с полем ввода запросов в поисковую систему, и получается, что ссылки вида https://www.domain1.com/?q=www.domain2.com отображаются в них тоже как поисковый запрос — то есть переход по адресу совершается, но в строке адреса при этом указывается только то, что после «?d=».
Таким образом получаем простейшее средство для фишинговых атак и навязчивых рекламных компаний. Особенно, если используется оно совместно с сервисами по сокращению ссылок или автоматически всплывающими окнами.

Предположительно, задумывалась эта функция в принципе для того, чтобы сокращать таким образом ссылки лишь для популярных поисковых сайтов, но как демонстрирует Ариф Хан в видеоролике на своём канале, работает она не только для них.

В компании проблему полностью признали, зарегистрировали её (присвоив код CVE-2019-10875), и даже выплатили Хану премиальные — по 99 долларов за каждый браузер. Хотя о размере таких выплат от многомиллионной корпорации исследователь отозвался в довольно ироничном тоне.

Кроме того он высказал предположение о том, что не закрыта эта уязвимость для глобального рынка была намеренно, поскольку на китайских телефонах такой проблемы обнаружено не было.

По имеющимся на настоящий момент данным, уязвимость всё ещё остаётся незакрытой, в связи с чем пользоваться указанными браузерами пока не рекомендуется.

Также, в дополнение к теме, всего несколькими днями ранее стало известно о том, что уязвимость была обнаружена ещё и в предустановленном приложении Guard Provider. Хотя оно само было разработано для обнаружения вредоносного ПО, но, по иронии судьбы, в нём тоже обнаружилась дыра в безопасности. Образовывалась она из-за незащищенного соединения приложения с сервером обновления, в результате чего возможно было провести атаку типа MiTM или «человек посередине», и потом, как часть стороннего обновления SDK, отключить защиту и внедрить любой вредоносный код.

Но там в Xiaomi сработали оперативно и уже выпустили патч.

Присоединяйтесь!

Не стесняйся, общайся. Мы любим встречать интересных людей и заводить новых друзей.