Независимый исследователь Ариф Хан (Arif Khan) обнаружил незакрытую уязвимость в Android-браузерах Mi и Mint производства Xiaomi. Баг позволяет выполнить подмену URL и направить пользователя на вредоносную или фишинговую страницу. Брешь найдена в международных версиях приложений и не присутствует в интернет-обозревателях, распространяемых на китайском рынке. Команда разработчиков признала наличие проблемы, но не сообщила о сроках выпуска патча.
Как выяснил ИБ-специалист, браузеры Xiaomi некорректно обрабатывают URL, содержащие параметр запроса (q). Такие конструкции используются в ссылках для автоматической подстановки нужного содержания в диалоговую форму. Например, строка https://www.google.com/?q=test приведет посетителя на главную страницу Google со словом test в поле поиска. Исследователь обнаружил, что обозреватели китайского производителя открывают в этом случае правильный сайт (google.com), однако отображают в адресе лишь значение запроса (test).
Такое поведение программы создает возможность для URL-спуфинга и может быть использовано в кибератаках. Так, перейдя по ссылке https://www.evildomain[.]com/?q=microsoft.com, пользователь окажется на сайте злоумышленников, в то время как в адресной строке будет указан легитимный домен Microsoft.
Ариф Хан сообщил об уязвимости разработчикам. Представители Xiaomi подтвердили наличие бага в сборках интернет-обозревателей, распространяемых за пределами Китая. Вендор отметил, что в данный момент не имеет патча для решения проблемы и не может назвать сроки появления заплатки. Браузер MI входит в состав операционной системы MIUI и активирован по умолчанию на всех устройствах производителя. По мнению специалистов, брешь затрагивает около 150 млн пользователей продукции Xiaomi.
На прошлой неделе стало известно о бэкдоре, который присутствовал в антивирусной программе Guard Provider, также предустановленной на мобильных устройствах Xiaomi. Специалисты выяснили, что приложение уязвимо для MitM-атаки, результатом которой может стать перехват контроля над смартфоном. В этот раз китайские разработчики не оставили уязвимость в статусе 0-day и закрыли брешь очередным апдейтом программы.
Источник: https://threatpost.ru/xiaomi-browser-vuln-allows-url-spoofing/32168/