Xiaomi никак не удается исправить связанную с браузерами MI и Mint уязвимость

0

Компания дважды пыталась устранить баг, но безрезультатно.

Китайский производитель электроники Xiaomi испытывает сложности с исправлением бага в браузерах MI и Mint, предустановленном на миллионах его мобильных устройств. Речь идет о логической ошибке (CVE-2019-10875) в интерфейсе браузера, позволяющей вредоносным сайтам управлять отображаемыми в адресной строке URL-адресами. С помощью данной уязвимости злоумышленники могут осуществлять не вызывающие подозрений у пользователей фишинговые атаки. Для этого им потребуется всего лишь заманить жертву на вредоносный сайт.

Первым внимание на проблему обратил ИБ-исследователь Ариф Хан (Arif Khan). После сообщения эксперта компания попыталась исправить уязвимость в обновленной версии браузера Mint 1.6.3, выпущенной 5 апреля текущего года, добавив ряд правил, но патч оказался неэффективным. С помощью метода Хана исследователь безопасности, известный в Сети как Renwa, смог обойти реализованные производителем меры (видео ниже).

После нового сообщения Xiaomi вновь попыталась исправить проблему, выпустив версию Mint 1.6.4., однако Renwa снова удалось проэксплуатировать уязвимость.

Хотя Xiaomi выпустила уже несколько обновлений Mint, браузер MI в последний раз обновлялся в начале декабря 2018 года, а это значит, что он все еще содержит оригинальную уязвимость, обнаруженную Ханом.