[Cảnh Báo] Lỗ hổng nghiêm trọng trong trình duyệt web Xiaomi cho phép tin tặc giả mạo URL

Nếu đang sử dụng smartphone của Xiaomi hoặc Redmi bạn nên ngừng sử dụng trình duyệt được tích hợp sẵn MI browser. Đồng thời, ngừng sử dụng trình duyệt Mint browser đang được phát hành rộng rãi trên Google Play trên tất cả các thiết bị Android khác.

[Cảnh Báo] Lỗ hổng nghiêm trọng trong trình duyệt web Xiaomi cho phép tin tặc giả mạo URL - CyberSec365.org

Cụ thể, lỗ hổng bảo mật này có mã định danh là CVE-2019-10875 và được phát hiện bởi Arif Khan - một nhà nghiên cứu bảo mật, và đang tồn tại trên cả hai trình duyệt web được phát hành bởi Xiaomi. 

Cụ thể, lỗ hổng này xuất phát do một lỗi logic trong giao diện của trình duyệt, cho phép một trang web độc hại kiểm soát được địa chỉ URL được hiển thị trên thanh địa chỉ. 

Theo đó, các trình duyệt bị ảnh hưởng không xử lý đúng tham số truy vấn "q" trong các URL. Do đó, phần địa chỉ website https nằm trước tham số "?q=" sẽ không được hiển thị trong thanh địa chỉ.

Do địa chỉ website hiển thị trên trình duyệt web là dấu hiệu thiết yếu và đáng tin cậy nhất để định danh một website, nên lỗ hổng này có thể được lợi dụng để đánh lừa người dùng Xiaomi, khiến họ nghĩ rằng họ đang truy cập chính xác website mình đang cần, mặc dù đang ở trong một website giả mạo.

[Cảnh Báo] Lỗ hổng nghiêm trọng trong trình duyệt web Xiaomi cho phép tin tặc giả mạo URL - CyberSec365.org

Trang TheHackerNews đã tiến hành xác minh độc lập lỗ hổng bằng PoC được chia sẻ bởi các nhà nghiên cứu và xác nhận lỗ hổng này ảnh hưởng đến các phiên bản mới nhất của cả 2 trình duyệt web MI Browser (v10.5.6-g) và Mint Browser (v1.5.3).

[Cảnh Báo] Lỗ hổng nghiêm trọng trong trình duyệt web Xiaomi cho phép tin tặc giả mạo URL - CyberSec365.org

Đặc biệt hơn, các nhà nghiên cứu cũng xác nhận rằng lỗ hổng này chỉ ảnh hưởng đến các phiên bản quốc tế của cả 2 trình duyệt. Còn các phiên bản được sử dụng cho các thiết bị Xiaomi ở Trung Quốc lại không chứa lỗ hổng này.

"The thing that struck me most was that only their overseas or, international versions were having this security bug and not their Chinese or, domestic versions. Was it done deliberately thus?" Arif told The Hacker News in an email.
"Are Chinese device manufacturers intentionally making their OS, applications, and firmware vulnerable for their international users?"

Một điều thú vị khác, khi các nhà nghiên cứu bảo mật báo cáo lỗ hổng cho Xiaomi, hãng đã tiến hành trao một khoản tiền thưởng cho các nhà nghiên cứu nhưng lại không tiến hành vá lỗ hổng và vẫn để nó tồn tại.

"The vulnerability impacts millions of users globally yet the bounty offered as such was, $99 (for Mi Browser) and another $99 (for Mint Browser)," the researcher said.

 Hiện tại, các nhà nghiên cứu bảo mật đã liên hệ với Xiaomi trước khi phát hành cảnh cáo này để  tìm hiểu xem công ty có kế hoạch phát hành phiên bản cho các lỗ hổng nói trên không. Nhưng có vẻ Xiaomi hoàn toàn không có kế hoạch cập nhật bản vá cho lỗ hổng này.
Đây là vấn để bảo mật nghiêm trọng thứ 2, sau sự cố "Tin tặc có thể biến phần mềm Anti-Virus được cài đặt sẵn trên điện thoại Xiaomi thành phần mềm độc hại" vừa được các nhà nghiên cứu xác định ảnh hưởng đến hơn 150 triệu thiết bị Android do Xiaomi sản xuất.

Hiện tại, người dùng Android nên chuyển qua sử dụng trình duyệt web Chrome hoặc Firefox để thay thế trình duyệt mặc định của Xiaomi.
Nguồn: The Hacker News