馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Parche con BUG permite falsificar URL en el navegador nativo de los Xiaomi

Si utilizas un smartphone que sea de la serie Mi o Redmi de la startup china Xiaomi, debes de ir inmediatamente hacia la Google Play Store para actualizar el navegador web que traen por defecto.

El navegador web MI integrado y el Mint en su pen煤ltima actualizaci贸n han sido afectados por un bug que permit铆a filtraciones dentro de la barra de direcci贸n.

Esta nueva vulnerabilidad de nivel cr铆tico se suma a otro descuido de la firma china con dispositivos internacionales.

La falla solo sucedi贸 con aquellos Mi o Redmi que se encuentran fuera de China.

Vulnerabilidad notificada a Xiaomi, pero sin parche inmediato鈥

La misma fue detectada por un investigador de seguridad que ha informado la compa帽铆a, sin embargo tardaron unos d铆as para solucionar la situaci贸n.

La vulnerabilidad est谩 identificada con la credencial: CVE-2019-10875 y fue descubierta por Arif Khan.

El mismo ha sido reconocido por Google, Alibaba, Asana y otras compa帽铆as en diferentes ocasiones.

Xiaomi Mint Browser

La falla de seguridad puede ser aprovechada para suplantar la barra de direcciones y poder falsificar la direcci贸n web donde se encuentre el usuario, prest谩ndose para t茅cnicas tan populares como el phishing.

Al parecer todo fue por un error en la l贸gica de la interfaz del navegador a trav茅s de las consultas y peticiones que se realizaban al mismo.

As铆 mismo se pod铆a modificar el protocolo de seguridad que proporcionaba la web (HTTPS o HTTP), con esto se pudiera conseguir manipular al usuario para que brinde datos personales.

Se ha de destacar que cada vez son m谩s los ciberdelincuentes que se dedican al phishing y manteniendo un nivel creciente de evoluci贸n.

La creatividad est谩 a 鈥渇lor de piel鈥 en cuanto a la aplicaci贸n de esta t茅cnica.

Las pruebas realizadas por un medio de comunicaci贸n demuestra la falla de seguridad

El medio digital Hacker News ha demostrado la falla a trav茅s de una publicaci贸n realizada hace d铆as. El investigador les proporcion贸 una herramienta para explotar dicha vulnerabilidad.

Xiaomi Redmi Mint

En las im谩genes se nota como han podido modificar a su placer la direcci贸n web que se muestra en la barra de b煤squeda con el certificado SSL intacto.

Las versiones de los navegadores web donde corrieron dichas pruebas son:

  • MI Browser (v10.5.6-g)
  • Mint Browser (V1.5.3)

Tal parece que esta versi贸n y otra anterior a estas, es donde se pueden conseguir dichas vulnerabilidades.

Recomendamos ir lo antes posible a la Google Play Store si tienes un dispositivo Xiaomi con alguna de estas versiones del navegador web.

La startup china anuncia la soluci贸n al problema y por qu茅 sucedi贸

Un portavoz de Xiaomi indic贸 que la falla se originaba luego de a帽adir una funci贸n que brindaba una mejora en la usabilidad del usuario, las palabras de la portavoz, fueron las siguientes:

El error fue producto de una funcionalidad recientemente agregada que ocultaba la URL en la barra de direcciones y mostraba el t茅rmino de b煤squeda inicial, el problema ya est谩 resuelto con la m谩s reciente actualizaci贸n.

Tambi茅n agregaba palabras en las que alienta a la comunidad a notificarles de estos 鈥渂ug鈥 si llegasen a encontrar alguno, estos ser谩n recompensados.

El sistema de recompensa de Xiaomi ofrece cada vez mejores sumas por reportar los diferentes errores que puede haber en cada uno de sus sistemas.

El investigador de seguridad digital, Arif Khan, indic贸 que le fue dado 99 US$ por cada navegador al cual reporto una falla.

Recuerda mantener siempre todos tus dispositivos m贸viles con las 煤ltimas actualizaciones en cada una de sus aplicaciones.

Siempre que cada una de estas grandes compa帽铆as manejan problemas de seguridad, tardan poco tiempo en encontrar soluciones eficaces para generar confianza con sus usuarios.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n