Xiaomi-browser tillader URL-spoofing

Illustration: Xiaomi
Smartphones fra Xiaomi har præinstalleret en browser med et alvorligt sikkerhedshul, som Xiaomi ikke har udbedret, efter det er indrapporteret. Derfor er browseren stadig sårbar – i hvert fald hvis du ikke er kinesisk kunde.

Den kritiske sikkerhedsbrist er dokumenteret og indrapporteret til Xiaomi – men de har undladt at gøre noget som helst ved det. Sikkerhedsbristen tiillader en ondsindet hjemmeside at styre URL-adressen, som vises i browseren.

Dermed kan Xiaomi-brugere snydes med phishing og skadeligt indhold, mens narres til at tro, at de sidder på en sikker hjemmeside. Det skriver The Hacker News.

Sikkerhedsbristen blev opdaget af sikkerhedsforsker Arif Kahn, som rapporterede fejlen til Xiaomi. Virksomheden har dog ikke udbedret problemet, og derfor er broswerne Mi og Mint til Xiaomis Mi eller Redmi-smartphones stadig usikre at anvende.

De er desuden præinstalleret i de nævnte smartphones, så et skift til en mere pålidelig browser er tilrådeligt.

Læs også: Pre-installeret antivirus var sikkerhedshul på Xiaomi-smartphones

Sikkerhedsbristen består i, at browseren ikke behandler »q« i query-parametret, dermed vil tekst før ?q= ikke blive vist på en https-URL. Derfor kan man heller ikke kan se af URL'en, om man er på en sikker side. Eksempelvis vil siden 'https://phishing-site.com?q=facebook.com' fremstå som 'facebook.com'.

Kun internationale versioner har sikkerhedsbristen

Den kinesiske version af browseren, som distribueres i Xiaomis smartphones i Kina, har underligt nok ikke denne sikkehedsbrist. Hvorimod den endnu ikke er udbedret i de versioner, som er tilgængelige for internationale kunder.

Arif Kahn indrapportrede fejlen, men den blev ikke udbedret efterfølgende. Da The Hacker News kontaktede Xiaomi, modtog de et underligt og ret uforståeligt svar.

»I would like to inform you that as of there is no official update regarding the issue. However, would request you to stay connected with the forum page for further details in this regards,« skrev virksomheden som svar.

Den underlige ageren undrer sikkerhedsforskeren Arif Kahn. Han fik sin bug-bounty, da han rapporterede fejlen, så det er ikke, fordi hans rapportering ikke blev opdaget.

»Det, der slog mig mest, var, at kun deres internationale versioner havde denne sikkerhedsfejl og ikke deres kinesiske eller indenlandske. Var det gjort sådan bevidst?« siger han

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere