Пользователям, которые отдают предпочтение в работе китайским браузерам Mi и Mint, стоит быть предельно осторожными, так как в этих веб-обозревателях обнаружена очень опасная уязвимость, которую производитель до сих пор не смог устранить.
Уязвимость получила идентификатор CVE-2019-10875. Создатель браузеров китайская компания Xiaomi хорошо ознакомлена с данной проблемой, но по непонятным причинам решила игнорировать баг. Некоторые пользователи даже заподозрили ее в том, что она сама добавила в свои фирменные веб-обозреватели. Однако подтверждения этот факт так и не нашел.
Уязвимость в браузерах Mi и Mint удалось обнаружить независимому эксперту по кибербезопасности Арифу Хану. Он случайно наткнулся на некую логическую ошибку, допущенную в интерфейсе веб-обозревателей. С ее помощью злоумышленники могут наладить удаленное управление URL-адресами, отображаемыми в адресной строке. Это представляет особую опасность, так как адресная строка в мобильных браузерах всегда считается самым надежным элементом и именно в ней отображаются индикаторы безопасности. Поэтому любые манипуляции с адресной строкой могут ввести в заблуждение пользователей, выдав вредоносный сайт за доверенный.
Хан заметил один очень интересный факт. Оказывается, что обнаруженная уязвимость присутствует только в международных версиях браузеров в то время, как в китайской ее нет. Здесь у многих пользователей может возникнуть подозрение о том, что компания намеренно допустила в своих фирменных продуктах такую уязвимость.
На размышления наталкивает еще и тот факт, что Xiaomi выплатила Хану полагающееся ему денежное вознаграждение за обнаружение уязвимости, однако проблему так и оставила нерешенной.
С помощью манипуляции с URL-адресами в браузерах злоумышленники могут организовать эффективные фишинговые атаки. Для этого даже не нужно совершать никаких сложных действий, достаточно всего лишь заманить жертву на вредоносный сайт.
Чтобы снять с себя подозрения, Xiaomi предприняла попытку исправить обнаруженную Ханом уязвимость. Почти неделю назад она выпустила обновленную версию Mint 1.6.3, в которой содержались заплатки для бага CVE-2019-10875. Однако предложенный специалистами патч не дал желаемой эффективности. На этот раз другой специалист по кибербезопасности, известный под ником Renwa, обошел предложенные производителем меры безопасности и проэксплуатировал уязвимость. Специалист сообщил об этом компании Xaiomi. После повторного обращения она выпустила еще одну версию браузера Mint 1.6.4, но уязвимость так и осталась неисправленной.
В то же время веб-обозреватель Mi последний раз получал обновления в конце прошлого года, а это значит, что компания даже не собирается носить в него какие-либо исправления.
Отметим, что веб-обозреватель Mi предустановлен по умолчанию на всех смартфонах Xiaomi Mi и Redmi. А веб-обозреватель Mint поддерживается на всех Android-смартфонах и распространяется через магазин приложений Google Play.