Kelemahan yang Belum Dicabut di Aplikasi Peramban bawaan Xiaomi Memungkinkan URL Peretas untuk Spoof - Otak Kita

Kelemahan yang Belum Dicabut di Aplikasi Peramban bawaan Xiaomi Memungkinkan URL Peretas untuk Spoof


OtakKita - EKSKLUSIF - Hati-hati, jika Anda menggunakan smartphone Mi atau Redmi Xiaomi, Anda harus segera berhenti menggunakan browser MI bawaan atau peramban Mint yang tersedia di Google Play Store untuk perangkat Android non-Xiaomi.

Itu karena kedua aplikasi browser web yang dibuat oleh Xiaomi rentan terhadap kerentanan kritis yang belum ditambal bahkan setelah dilaporkan secara pribadi ke perusahaan, seorang peneliti mengatakan kepada The Hacker News.

Kerentanan, diidentifikasi sebagai CVE-2019-10875 dan ditemukan oleh peneliti keamanan Arif Khan, adalah masalah spoofing address bar browser yang berasal karena kesalahan logis pada antarmuka browser, memungkinkan situs web jahat untuk mengontrol URL yang ditampilkan di address bar.

Karena bilah alamat peramban web adalah indikator keamanan yang paling dapat diandalkan dan penting, cacatnya dapat digunakan untuk dengan mudah menjebak pengguna Xiaomi untuk berpikir bahwa mereka mengunjungi situs web tepercaya ketika benar-benar disajikan dengan konten phishing atau berbahaya, seperti yang ditunjukkan dalam demonstrasi video di bawah ini.

Serangan phishing hari ini lebih canggih dan semakin sulit dikenali, dan kerentanan spoofing URL ini membawanya ke tingkat lain, memungkinkan seseorang untuk memintas indikator dasar seperti URL dan SSL, yang merupakan hal pertama yang diperiksa pengguna untuk menentukan apakah suatu situs adalah gadungan.

The Hacker News telah memverifikasi secara independen kerentanan menggunakan PoC yang dibagikan peneliti dengan tim kami dan dapat mengonfirmasikannya berfungsi pada versi terbaru dari kedua browser web — MI Browser (v10.5.6-g) dan Mint Browser (v1.5.3) —yang tersedia pada saat penulisan.


Apa yang menarik? Peneliti juga mengkonfirmasi The Hacker News bahwa masalah ini hanya mempengaruhi varian internasional dari kedua browser web, meskipun versi domestik, yang didistribusikan dengan smartphone Xiaomi di Cina, tidak mengandung kerentanan ini.

    "Hal yang paling mengejutkan saya adalah bahwa hanya versi mereka di luar negeri atau, internasional yang memiliki bug keamanan ini dan bukan versi Cina atau domestik mereka. Apakah itu dilakukan dengan sengaja demikian?" Arif mengatakan kepada The Hacker News melalui email.

    "Apakah produsen perangkat China sengaja membuat OS, aplikasi, dan firmware mereka rentan bagi pengguna internasional mereka?"


Hal lain yang menarik meskipun aneh adalah bahwa setelah melaporkan masalah ini, Xiaomi memberi hadiah kepada peneliti dengan hadiah bug, tetapi membiarkan kerentanannya tidak tertangani.

    "Kerentanan tersebut berdampak pada jutaan pengguna secara global, tetapi hadiah yang ditawarkan adalah $ 99 (untuk Browser Mi) dan $ 99 (untuk Browser Browser)," kata peneliti.


Kami juga menghubungi Xiaomi dua hari sebelum menerbitkan laporan ini untuk mendapatkan komentar tambahan dan mengetahui apakah perusahaan memiliki rencana untuk merilis versi yang ditambal dalam waktu dekat, tetapi vendor ponsel memberikan respons yang aneh.

    "Saya ingin memberi tahu Anda bahwa sampai saat ini tidak ada pembaruan resmi mengenai masalah ini. Namun, akan meminta Anda untuk tetap terhubung dengan halaman forum untuk perincian lebih lanjut dalam hal ini," kata perusahaan itu.

Ini adalah masalah parah yang baru-baru ini diungkapkan oleh para peneliti yang telah diidentifikasi dalam aplikasi pra-instal pada lebih dari 150 juta perangkat Android yang diproduksi oleh Xiaomi.


Baru kemarin, The Hacker News menerbitkan rincian laporan yang menjelaskan bagaimana penyerang bisa mengubah aplikasi keamanan yang sudah diinstal pada ponsel Xiaomi, yang disebut Guard Provider, menjadi malware dengan mengeksploitasi banyak kerentanan dalam aplikasi.

Intinya: Pengguna Android sangat disarankan untuk menggunakan browser web modern yang tidak terpengaruh oleh kerentanan ini, seperti Chrome atau Firefox.

Selain itu, jika Anda menggunakan Microsoft Edge atau browser Internet Explorer di desktop Anda, Anda juga harus menghindari menggunakannya karena kedua browser juga mengandung kerentanan kritis yang belum ditambal oleh raksasa teknologi.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel