Parche con BUG permite falsificar URL en el navegador nativo de los Xiaomi
Si utilizas un smartphone que sea de la serie Mi o Redmi de la startup china Xiaomi, debes de ir inmediatamente hacia la Google Play Store para actualizar el navegador web que traen por defecto.
El navegador web MI integrado y el Mint en su penúltima actualización han sido afectados por un bug que permitía filtraciones dentro de la barra de dirección.
Esta nueva vulnerabilidad de nivel crítico se suma a otro descuido de la firma china con dispositivos internacionales.
La falla solo sucedió con aquellos Mi o Redmi que se encuentran fuera de China.
Vulnerabilidad notificada a Xiaomi, pero sin parche inmediato…
La misma fue detectada por un investigador de seguridad que ha informado la compañía, sin embargo tardaron unos días para solucionar la situación.
La vulnerabilidad está identificada con la credencial: CVE-2019-10875 y fue descubierta por Arif Khan.
El mismo ha sido reconocido por Google, Alibaba, Asana y otras compañías en diferentes ocasiones.
La falla de seguridad puede ser aprovechada para suplantar la barra de direcciones y poder falsificar la dirección web donde se encuentre el usuario, prestándose para técnicas tan populares como el phishing.
Al parecer todo fue por un error en la lógica de la interfaz del navegador a través de las consultas y peticiones que se realizaban al mismo.
Así mismo se podía modificar el protocolo de seguridad que proporcionaba la web (HTTPS o HTTP), con esto se pudiera conseguir manipular al usuario para que brinde datos personales.
Se ha de destacar que cada vez son más los ciberdelincuentes que se dedican al phishing y manteniendo un nivel creciente de evolución.
La creatividad está a “flor de piel” en cuanto a la aplicación de esta técnica.
Las pruebas realizadas por un medio de comunicación demuestra la falla de seguridad
El medio digital Hacker News ha demostrado la falla a través de una publicación realizada hace días. El investigador les proporcionó una herramienta para explotar dicha vulnerabilidad.
En las imágenes se nota como han podido modificar a su placer la dirección web que se muestra en la barra de búsqueda con el certificado SSL intacto.
Las versiones de los navegadores web donde corrieron dichas pruebas son:
- MI Browser (v10.5.6-g)
- Mint Browser (V1.5.3)
Tal parece que esta versión y otra anterior a estas, es donde se pueden conseguir dichas vulnerabilidades.
Recomendamos ir lo antes posible a la Google Play Store si tienes un dispositivo Xiaomi con alguna de estas versiones del navegador web.
La startup china anuncia la solución al problema y por qué sucedió
Un portavoz de Xiaomi indicó que la falla se originaba luego de añadir una función que brindaba una mejora en la usabilidad del usuario, las palabras de la portavoz, fueron las siguientes:
El error fue producto de una funcionalidad recientemente agregada que ocultaba la URL en la barra de direcciones y mostraba el término de búsqueda inicial, el problema ya está resuelto con la más reciente actualización.
También agregaba palabras en las que alienta a la comunidad a notificarles de estos “bug” si llegasen a encontrar alguno, estos serán recompensados.
El sistema de recompensa de Xiaomi ofrece cada vez mejores sumas por reportar los diferentes errores que puede haber en cada uno de sus sistemas.
El investigador de seguridad digital, Arif Khan, indicó que le fue dado 99 US$ por cada navegador al cual reporto una falla.
Recuerda mantener siempre todos tus dispositivos móviles con las últimas actualizaciones en cada una de sus aplicaciones.
Siempre que cada una de estas grandes compañías manejan problemas de seguridad, tardan poco tiempo en encontrar soluciones eficaces para generar confianza con sus usuarios.