Lỗ hổng này tồn tại trong phiên bản
trình duyệt của Xiaomi cho phép hacker có thể giả mạo địa chỉ trang web của các trang uy tín.
Nếu bạn đang sử dụng điện thoại thông minh của Xiaomi như dòng Mi hoặc Redmi, bạn nên ngừng ngay lập tức sử dụng
trình duyệt được tích hợp sẵn trong máy. Ngoài ra, với người dùng không xài điện thoại Xiaomi thì hãng tránh xa
trình duyệt Mint của Xiaomi (có sẵn trên chợ ứng dụng Play Store) cho đến khi “bản vá” được phát hành.
Thanh dịa chỉ trinh duyệt hiển thị sai
Nguyên nhân là vì cả hai ứng dụng
trình duyệt web do Xiaomi tạo ra đều dễ bị hacker khai thác khi chưa vá lỗi. Lỗ hổng có mã CVE-2019-10875 được phát hiện bởi nhà nghiên cứu bảo mật Arif Khan cho thấy, hacker hoàn toàn có thể giả mạo th
anh địa chỉ
trình duyệt, điều này dẫn đến tình trạng bạn đang vào m?
?t trang web độc hại nhưng được hiển thị trên th
anh địa chỉ là m?
?t trang web hoàn toàn vô hại.
Lỗi này bắt nguồn từ tham số q trên
trình duyệt. Cụ thể, ví dụ một hacker “câu” được một nạn nhân mở m?
?t trang web có địa ch?
?? https://phishing-site.com?q=facebook.comphishing-site.com/?q=facebook.com thì trên th
anh địa chỉ
trình duyệt Xiaomi lại chỉ hiển thị http://facebook.com và có cả hình khoá SSL kế bên. Do th
anh địa chỉ của
trình duyệt web là chỉ số bảo mật quan trọng và đáng tin cậy nhất, nên lỗ hổng có thể được sử dụng để dễ dàng lừa người dùng Xiaomi nghĩ rằng họ đang truy cập m?
?t trang web đáng tin cậy trong khi lại đang ở m?
?t trang lừa đảo hoặc độc hại.
Các cuộc tấn công lừa đảo ngày nay tinh vi hơn và ngày càng khó phát hiện hơn và lỗ hổng giả mạo URL này đưa nó đến một cấp độ khác, cho phép một người bỏ qua các chỉ số cơ bản như URL và SSL, đây là điều đầu tiên người dùng kiểm tra để xác định xem trang web có phải là giả mạo.
Hiện tại lỗ hổng này vẫn tồn tại trong hai phiên bản
trình duyệt mới nhất của Xiaomi bao gồm MI Browser (v10.5.6-g) và Mint Browser (v1.5.3). Một tình tiết rất bất ngờ kèm theo thông tin này đó là chỉ các thiết bị Xiaomi bản quốc tế mới gặp lỗ hổng này, trong khi đó các thiết bị Xiaomi nội địa (bán tại thị trường Trung Quốc) lại không tồn tại lỗi trên.
Hiện tại Xiaomi vẫn chưa có phản hồi gì về sự việc này. Đây là vấn đề nghiêm trọng thứ hai được tiết lộ gần đây mà các nhà nghiên cứu đã xác định trong các ứng dụng được cài đặt sẵn trên hơn 150 triệu thiết bị Android do Xiaomi sản xuất.
An Nhiên (theo The Hacker News)
Cảnh báo nguy cơ gia tăng trên máy tính ICS nhiễm mã độc
Tỷ lệ máy tính của Hệ thống điều khiển công nghiệp (ICS) bị nhiễm mã độc trong hoạt ?
?ộng mạng đã tăng từ 44% trong năm 2017 lên 47,2% trong năm 2018, cho thấy mối đe dọa đang gia tăng.
Nguồn bài viết : DB Trực Tuyến
