-> ->

В браузерах Mi и Mint нашли опасную уязвимость

Пользователям, которые отдают предпочтение в работе китайским браузерам Mi и Mint, стоит быть предельно осторожными, так как в этих веб-обозревателях обнаружена очень опасная уязвимость, которую производитель до сих пор не смог устранить.

Уязвимость получила идентификатор CVE-2019-10875. Создатель браузеров китайская компания Xiaomi хорошо ознакомлена с данной проблемой, но по непонятным причинам решила игнорировать баг. Некоторые пользователи даже заподозрили ее в том, что она сама добавила в свои фирменные веб-обозреватели. Однако подтверждения этот факт так и не нашел.

Уязвимость в браузерах Mi и Mint удалось обнаружить независимому эксперту по кибербезопасности Арифу Хану. Он случайно наткнулся на некую логическую ошибку, допущенную в интерфейсе веб-обозревателей. С ее помощью злоумышленники могут наладить удаленное управление URL-адресами, отображаемыми в адресной строке. Это представляет особую опасность, так как адресная строка в мобильных браузерах всегда считается самым надежным элементом и именно в ней отображаются индикаторы безопасности. Поэтому любые манипуляции с адресной строкой могут ввести в заблуждение пользователей, выдав вредоносный сайт за доверенный.

Хан заметил один очень интересный факт. Оказывается, что обнаруженная уязвимость присутствует только в международных версиях браузеров в то время, как в китайской ее нет. Здесь у многих пользователей может возникнуть подозрение о том, что компания намеренно допустила в своих фирменных продуктах такую уязвимость.

На размышления наталкивает еще и тот факт, что Xiaomi выплатила Хану полагающееся ему денежное вознаграждение за обнаружение уязвимости, однако проблему так и оставила нерешенной.

С помощью манипуляции с URL-адресами в браузерах злоумышленники могут организовать эффективные фишинговые атаки. Для этого даже не нужно совершать никаких сложных действий, достаточно всего лишь заманить жертву на вредоносный сайт.

Чтобы снять с себя подозрения, Xiaomi предприняла попытку исправить обнаруженную Ханом уязвимость. Почти неделю назад она выпустила обновленную версию Mint 1.6.3, в которой содержались заплатки для бага CVE-2019-10875. Однако предложенный специалистами патч не дал желаемой эффективности. На этот раз другой специалист по кибербезопасности, известный под ником Renwa, обошел предложенные производителем меры безопасности и проэксплуатировал уязвимость. Специалист сообщил об этом компании Xaiomi. После повторного обращения она выпустила еще одну версию браузера Mint 1.6.4, но уязвимость так и осталась неисправленной.

В то же время веб-обозреватель Mi последний раз получал обновления в конце прошлого года, а это значит, что компания даже не собирается носить в него какие-либо исправления.

Отметим, что веб-обозреватель Mi предустановлен по умолчанию на всех смартфонах Xiaomi Mi и Redmi. А веб-обозреватель Mint поддерживается на всех Android-смартфонах и распространяется через магазин приложений Google Play.

Поставить рейтинг:(Рейтинг: 3.04, оценок: 358)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.