WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Trình duyệt của Xiaomi tồn tại lỗ hổng cho phép tin tặc giả mạo URL
Hãy ngừng sử dụng trình duyệt MI trên các smartphone Mi hoặc Redmi của Xiaomi. Với các smartphone chạy hệ điều hành Android từ các hãng khác, bạn nên ngừng dùng trình duyệt Mint ngay lập tức.
Cả hai trình duyệt web này, do Xiaomi phát triển, đều tồn tại lỗ hổng nghiêm trọng chưa được vá dù Xiaomi đã được thông báo về lỗ hổng.
Đây là lỗ hổng giả mạo thanh địa chỉ trình duyệt (CVE-2019-10875), cho phép một trang web độc hại kiểm soát được URL hiển thị trên thanh địa chỉ. Lỗ hổng bắt nguồn từ lỗi logic trên giao diện trình duyệt.
Các trình duyệt bị ảnh hưởng không xử lý chính xác tham số truy vấn "q" trong các URL, nên không hiển thị phần https URL trước chuỗi ?q= trong thanh địa chỉ.
Do thanh địa chỉ của trình duyệt web thường được bảo mật cao và đáng tin cậy nên hacker dễ dàng lừa người dùng tin rằng mình đang truy cập vào một website đáng tin cậy trong khi họ đang bị lợi dụng cho các mục đích lừa đảo hoặc phát tán nội dung độc hại. Video dưới đây mô tả chi tiết cách thức lừa đảo.
Hiện nay, các cuộc tấn công lừa đảo ngày càng tinh vi và khó phát hiện hơn. Và lỗ hổng giả mạo URL này đã làm vấn đề thêm trầm trọng khi kẻ xấu có thể bỏ qua các chỉ số cơ bản như URL và SSL. Đây là những chỉ số đầu tiên giúp người dùng xác định trang web có giả mạo hay không.
Theo The Hacker News, lỗ hổng vẫn có thể bị khai thác trên các phiên bản mới nhất của cả hai trình duyệt web MI Browser (v10.5.6-g) và Mint Browser (v1.5.3).
Đặc biệt, lỗ hổng này chỉ ảnh hưởng đến các phiên bản quốc tế của cả hai trình duyệt web, trong khi phiên bản nội địa tại Trung Quốc lại không tồn tại lỗ hổng.
Kỳ lạ hơn, khi được chuyên gia Arif Khan báo cáo lỗ hổng, Xiaomi đã trao thưởng cho chuyên gia này nhưng lại không cập nhật bản vá.
Theo chuyên gia Arif Khan, lỗ hổng này ảnh hưởng đến hàng triệu người dùng trên toàn cầu nhưng mức tiền thưởng chỉ là $99 cho mỗi trình duyệt.
The Hacker News cũng đã liên hệ với Xiaomi và nhận được phản rồi sẽ không có bản cập nhật chính thức nào cho lỗ hổng.
Đây là vấn đề nghiêm trọng thứ hai của Xiaomi khi mới đây một ứng dụng diệt virus cài đặt sẵn trên hơn 150 triệu điện thoại Android của Xiaomi bị hacker ‘biến’ thành malware.
Người dùng Android được khuyến cáo sử dụng các trình duyệt web không bị ảnh hưởng bởi lỗ hổng này.
Ngoài trình duyệt của Xiaomi, gần đây trình duyệt Microsoft Edge và Internet Explorer trên desktop cũng đang tồn tại lỗ hổng nghiêm trọng chưa được vá.
Đây là lỗ hổng giả mạo thanh địa chỉ trình duyệt (CVE-2019-10875), cho phép một trang web độc hại kiểm soát được URL hiển thị trên thanh địa chỉ. Lỗ hổng bắt nguồn từ lỗi logic trên giao diện trình duyệt.
Các trình duyệt bị ảnh hưởng không xử lý chính xác tham số truy vấn "q" trong các URL, nên không hiển thị phần https URL trước chuỗi ?q= trong thanh địa chỉ.
Do thanh địa chỉ của trình duyệt web thường được bảo mật cao và đáng tin cậy nên hacker dễ dàng lừa người dùng tin rằng mình đang truy cập vào một website đáng tin cậy trong khi họ đang bị lợi dụng cho các mục đích lừa đảo hoặc phát tán nội dung độc hại. Video dưới đây mô tả chi tiết cách thức lừa đảo.
Hiện nay, các cuộc tấn công lừa đảo ngày càng tinh vi và khó phát hiện hơn. Và lỗ hổng giả mạo URL này đã làm vấn đề thêm trầm trọng khi kẻ xấu có thể bỏ qua các chỉ số cơ bản như URL và SSL. Đây là những chỉ số đầu tiên giúp người dùng xác định trang web có giả mạo hay không.
Kỳ lạ hơn, khi được chuyên gia Arif Khan báo cáo lỗ hổng, Xiaomi đã trao thưởng cho chuyên gia này nhưng lại không cập nhật bản vá.
Theo chuyên gia Arif Khan, lỗ hổng này ảnh hưởng đến hàng triệu người dùng trên toàn cầu nhưng mức tiền thưởng chỉ là $99 cho mỗi trình duyệt.
The Hacker News cũng đã liên hệ với Xiaomi và nhận được phản rồi sẽ không có bản cập nhật chính thức nào cho lỗ hổng.
Đây là vấn đề nghiêm trọng thứ hai của Xiaomi khi mới đây một ứng dụng diệt virus cài đặt sẵn trên hơn 150 triệu điện thoại Android của Xiaomi bị hacker ‘biến’ thành malware.
Ngoài trình duyệt của Xiaomi, gần đây trình duyệt Microsoft Edge và Internet Explorer trên desktop cũng đang tồn tại lỗ hổng nghiêm trọng chưa được vá.
Theo The Hacker News