Независимый ИБ-исследователь Ариф Хан (Arif Khan) обнаружил опасную проблему CVE-2019-10875, затрагивающую браузер Mi, предустановленный на смартфонах Xiaomi Mi и Redmi, а также браузер Mint, представленный в Google Play и доступный пользователям любых устройств на Android.
Найденная специалистом логическая проблема позволяет подделать URL в адресной строке уязвимого браузера, что позволит вредоносному сайту выдать себя за настоящий Facebook, Google и любой другой ресурс.
Согласно опубликованному Ханом отчету, уязвимость связана с тем, что браузеры некорректно обрабатывают параметр «q» в URL, из-за чего часть адреса до ?q= отображается неверно. То есть ссылка вида https://www.google.com/?q=www.domain.com превратится в адресной строке в www.domain.com.
Журналисты издания The Hacker News протестировали proof-of-concept эксплоит исследователя и подтверждают, что Mi (10.5.6-g) и Mint (1.5.3) по-прежнему уязвимы перед CVE-2019-10875, и пользователю можно «показать» абсолютно любой адрес. Эксплоит в действии можно увидеть в ролике ниже.
Отдельного упоминания заслуживает и тот факт, что уязвимость касается только международных версий обоих браузеров, тогда вариации для китайского рынка, распространяемые с устройствами Xiaomi в Поднебесной, проблеме не подвержены. В беседе с представителями The Hacker News Хан признался, что подозревает, что производитель поступает так намеренно.
Интересно также и другое: за обнаруженные уязвимости исследователь получил вознаграждение в рамках bug bounty программы (99 долларов за каждый браузер), однако исправлять баг инженеры Xiaomi не торопятся, и Хан полагает, что вовсе не собираются.
Напомню, что на прошлой неделе еще одну серьезную проблему нашли и в другом приложении, предустановленном на устройства Xiaomi. Защитное приложение Guard Provider подвергало пользователей риску MITM-атак и полной компрометации устройства.