Error en el navegador de Xiaomi hace vulnerables todos los smartphones de la marca

Estándar

Tenga en cuenta que si está utilizando el teléfono inteligente Mi o Redmi de Xiaomi, debe dejar de usar de inmediato su navegador MI integrado o el navegador Mint disponible en Google Play Store para dispositivos Android que no sean Xiaomi.

Esto se debe a que las dos aplicaciones de navegadores web creadas por Xiaomi son vulnerables a una vulnerabilidad crítica que aún no ha sido reparada, incluso después de haber sido informada de forma privada a la compañía.

La vulnerabilidad, identificada como CVE-2019-10875 y reportada por el investigador de seguridad Arif Khan, es un problema de suplantación de la barra de direcciones del navegador que se origina debido a una falla lógica en la interfaz del navegador, permitiendo que un sitio web malicioso controle las URL que se muestran en la barra de direcciones.

Como la barra de direcciones de un navegador web es el indicador de seguridad más confiable y esencial, la falla se puede usar para engañar fácilmente a los usuarios de smartphone Xiaomi para que piensen que están visitando un sitio web de confianza cuando en realidad se les proporciona un phishing o contenido malicioso, como se muestra en la Video de demostración a continuación:

Los ataques de phishing en la actualidad son más sofisticados y cada vez más difíciles de detectar y esta vulnerabilidad de suplantación de URL lo lleva a otro nivel, lo que le permite a uno ignorar indicadores básicos como URL y SSL, que son las primeras cosas que un usuario verifica para determinar si un sitio es falso.

He verificado de forma independiente la vulnerabilidad utilizando un PoC que el investigador ha compartido, el equipo utilizado para las pruebas ha sido un Xiaomo Mi A1 y podemos confirmar que la vulnerabilidad es explotable en las últimas versiones de ambos navegadores web: MI Browser (v10.5.6-g) y Mint Browser (v1.5.3).

El investigador también confirmó que el problema solo afecta a las variantes internacionales de ambos navegadores web, aunque las versiones domésticas, distribuidas con los teléfonos inteligentes Xiaomi en China, no contienen esta vulnerabilidad. Sin embargo esto es algo que no hemos podido confirmar por nosotros mismos.

Otra cosa interesante, aunque extraña, es que al informar el problema, Xiaomi recompensó al investigador con una recompensa  por reportar el error en ambos navegadores de Xiaomo ($99 por cada uno), pero dejó la vulnerabilidad sin parchear en las versiones internacionales.

Este es el segundo problema grave recientemente revelado que los investigadores han identificado en aplicaciones preinstaladas en más de 150 millones de dispositivos Android fabricados por Xiaomi.