EXCLUSIVO – Tenga cuidado, si está utilizando un teléfono inteligente Mi o Redmi de Xiaomi, debe actualizar inmediatamente su MI navegador o la navegador de menta disponible en Google Play Store para dispositivos Android que no sean Xiaomi.
Esto se debe a que ambas aplicaciones de navegador web creadas por Xiaomi son vulnerables a una vulnerabilidad crítica que aún no se ha reparado, incluso después de haber sido informada de forma privada a la empresa, dijo un investigador a The Hacker News.
La vulnerabilidad, identificada como CVE-2019-10875 y descubierto por el investigador de seguridad arif khanes un problema de falsificación de la barra de direcciones del navegador que se origina debido a una falla lógica en la interfaz del navegador, lo que permite que un sitio web malicioso controle las URL que se muestran en la barra de direcciones.
De acuerdo con el aviso, los navegadores afectados no manejan correctamente el parámetro de consulta «q» en las URL, por lo que no muestran la parte de una URL https antes de la subcadena? Q = en la barra de direcciones.
Dado que la barra de direcciones de un navegador web es el indicador de seguridad más confiable y esencial, la falla se puede usar para engañar fácilmente a los usuarios de Xiaomi para que piensen que están visitando un sitio web confiable cuando en realidad reciben contenido malicioso o de phishing, como se muestra en el video de demostración a continuación.
Los ataques de phishing de hoy en día son más sofisticados y cada vez más difíciles de detectar, y esta vulnerabilidad de falsificación de URL lo lleva a otro nivel, lo que permite eludir indicadores básicos como URL y SSL, que son las primeras cosas que un usuario verifica para determinar si un sitio es falso.
– Las noticias del hacker (@TheHackersNews) 5 de abril de 2019
The Hacker News ha verificado de forma independiente la vulnerabilidad mediante un PoC que el investigador compartió con nuestro equipo y puede confirmar que funciona en las últimas versiones de ambos navegadores web:MI navegador (v10.5.6-g) y Navegador de menta (v1.5.3), que están disponibles en el momento de escribir este artículo.
¿Qué es interesante? El investigador también confirmó a The Hacker News que el problema solo afecta a las variantes internacionales de ambos navegadores web, aunque las versiones domésticas, distribuidas con los teléfonos inteligentes Xiaomi en China, no contienen esta vulnerabilidad.
«Lo que más me llamó la atención fue que solo sus versiones en el extranjero o internacionales tenían este error de seguridad y no sus versiones chinas o nacionales. ¿Se hizo así deliberadamente?» Arif le dijo a The Hacker News en un correo electrónico.
«¿Los fabricantes de dispositivos chinos están haciendo intencionalmente que su sistema operativo, aplicaciones y firmware sean vulnerables para sus usuarios internacionales?»
Otra cosa interesante, aunque extraña, es que al informar el problema, Xiaomi recompensó al investigador con una recompensa por errores, pero dejó la vulnerabilidad sin parchear.
«La vulnerabilidad afecta a millones de usuarios en todo el mundo, pero la recompensa ofrecida como tal fue de $ 99 (para Mi Browser) y otros $ 99 (para Mint Browser)», dijo el investigador.
También nos comunicamos con Xiaomi dos días antes de publicar este informe para obtener comentarios adicionales y saber si la compañía tiene planes de lanzar una versión parcheada en el corto plazo, pero el proveedor de dispositivos móviles proporcionó una respuesta extraña.
«Me gustaría informarle que hasta el momento no hay una actualización oficial sobre el tema. Sin embargo, le pido que se mantenga conectado con la página del foro para obtener más detalles al respecto», dijo la compañía.
Este es el segundo problema grave revelado recientemente que los investigadores han identificado en aplicaciones preinstaladas en más de 150 millones de dispositivos Android fabricados por Xiaomi.
Justo ayer, The Hacker News publicó detalles de un informe que explica cómo los atacantes podrían haber convertido una aplicación de seguridad preinstalada en los teléfonos Xiaomi, llamada Guard Provider, en malware al explotar múltiples vulnerabilidades en la aplicación.
La línea de fondo: Se recomienda encarecidamente a los usuarios de Android que utilicen navegadores web modernos que no se vean afectados por esta vulnerabilidad, como Chrome o Firefox.
Además de esto, si está utilizando el navegador Microsoft Edge o Internet Explorer en su escritorio, también debe evitar usarlos, ya que ambos navegadores también contienen una vulnerabilidad crítica que aún no ha sido reparada por el gigante tecnológico.
Xiaomi parchea la vulnerabilidad del navegador
Actualización (08/04/2019) – Otro portavoz de Xiaomi confirmó hoy a The Hacker News que la vulnerabilidad divulgada públicamente mencionada anteriormente ahora se ha parcheado en la última versión de ambas aplicaciones de navegador lanzadas a fines de la semana pasada.
«El error fue el resultado de una funcionalidad adicional para mejorar la experiencia del usuario al ocultar la URL y mostrar solo el término de búsqueda», dice el portavoz.
«Si bien esto estaba destinado a funcionar solo con URL específicas, funcionó para algunas otras URL que siguieron un patrón regular similar. El problema se resolvió desde entonces y se está implementando una actualización para todos los usuarios».
«Se informó a través de nuestro programa de recompensas, que alienta a los expertos en seguridad a informar vulnerabilidades. Xiaomi valora los comentarios de la comunidad de seguridad y se compromete a mejorar constantemente en función de todos los comentarios para crear productos mejores y más seguros».
