Користувачі браузерів MI і Mint від компанії Xiaomi слід бути обережними через виявлену в браузері небезпечну уразливість (CVE-2019-10875), яку виробник із незрозумілих причин вирішив не виправляти.
Дослідник із безпеки Аріф Хан (Arif Khan) виявив логічну помилку в інтерфейсі браузера, що дозволяє шкідливим сайтам керувати відображеними в адресному рядку URL-адресами. Оскільки адресний рядок у мобільних браузерах є найнадійнішим і основним індикатором безпеки, маніпуляції з URL дозволять зловмисникам обманювати користувачів, змушуючи їх думати, ніби шкідливий сайт є надійним.
Примітно, що проблема зачіпає тільки версії браузерів для міжнародного ринку, тоді як в китайських версіях ця уразливість відсутня.
“Виникає питання: чи не поставили вони (Xiaomi – ред.) користувачів під загрозу навмисно для фішингових і рекламних кампаній і поширення небажаного або шкідливого ПЗ?”, – зазначив дослідник.
Однак на цьому дивацтва не закінчується. Коли Хан повідомив Xiaomi про виявлену проблему, компанія виплатила йому винагороду в рамках своєї програми заохочення дослідників, але так і залишила уразливість невиправленою.
Нещодавно фахівці компанії CheckPoint попередили про уразливість в захисному додатку Guard Provider, передвстановленому на понад 150 мільйонів мобільних пристроїв виробництва китайської компанії Xiaomi, за допомогою якої зловмисники могли б віддалено скомпрометувати смартфони.
До речі, компанія Xiaomi контролює переміщення користувачів своїх смартфонів та передає дані до рук китайської влади. Це відбувається завдяки стандарту A-GPS, роботу якого забезпечує державне підприємство Китайської Народної Республіки.