Xiaomi заподозрили в намеренном внедрении уязвимости в браузеры MI и Mint

0

Компания выплатила исследователю вознаграждение за обнаруженную уязвимость, но решила ее не исправлять.

Пользователи браузеров MI и Mint от компании Xiaomi должны соблюдать большую осторожность из-за обнаруженной в браузере опасной уязвимости (CVE-2019-10875), которую производитель по непонятным причинам решил не исправлять.

Исследователь безопасности Ариф Хан (Arif Khan) обнаружил логическую ошибку в интерфейсе браузера, позволяющую вредоносным сайтам управлять отображаемыми в адресной строке URL-адресами. Поскольку адресная строка в мобильных браузерах является самым надежным и основным индикатором безопасности, манипуляции с URL позволят злоумышленникам обманывать пользователей, заставляя их думать, будто вредоносный сайт является доверенным.

Примечательно, что проблема затрагивает только версии браузеров для международного рынка, тогда как в китайских версиях данная уязвимость отсутствует. «Возникает вопрос: поставили ли они (Xiaomi – ред.) пользователей под угрозу намеренно для фишинговых и рекламных кампаний и распространения нежелательного или вредоносного ПО?», – отметил исследователь.

Однако на этом странности не заканчивается. Когда Хан сообщил Xiaomi об обнаруженной проблеме, компания выплатила ему вознаграждение в рамках своей программы поощрения исследователей, но так и оставила уязвимость неисправленной.

Недавно также стало известно об уязвимости в защитном приложении Guard Provider, предустановленном на более чем 150 млн мобильных устройств от Xiaomi, позволяющей удаленно скомпрометировать смартфоны.