เตือนช่องโหว่บนเบราว์เซอร์ Xiaomi จนถึงตอนนี้ยังไม่มีแพตช์ที่สมบูรณ์

Arif Khan นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาแจ้งเตือนถึงช่องโหว่บนแอป Web Browser ที่ถูกติดตั้งมาจากโรงงานของสมาร์ตโฟน Xiaomi ทั้ง Mi และ Redmi ได้แก่ MI Browser และ Mint Browser ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบปลอม URL ได้โดยที่ผู้ใช้ไม่รู้ตัว เสี่ยงอาจถูกโจมตีแบบ Phishing จนถึงตอนนี้ Xiaomi พยายามออกแพตช์มาแล้วหลายครั้งแต่ยังคงมีช่องโหว่อยู่

Credit: Mi.com

ช่องโหว่ที่ Khan ค้นพบมีรหัส CVE-2019-10875 เป็นช่องโหว่ URL Spoofing เนื่องจากความบกพร่องเชิงตรรกะ (Logical Flaw) บนอินเทอร์เฟสของ MI และ Mint Browsers ซึ่งช่วยให้เว็บไซต์อันตรายสามารถควบคุมการแสดงผลบน Address Bar ของแอปพลิเคชันทั้งสองได้ กล่าวคือ MI และ Mint ไม่สามารถจัดการพารามิเตอร์ “q” บน URL ได้อย่างเหมาะสม ส่งผลให้ค่าตัวแปรของพารามิเตอร์ q ถูกนำมาแสดงผลบน URL แทน เช่น phishing-site.com/?q=facebook.com แอปพลิเคชันจะแสดงผลเป็น facebook.com แทน เป็นต้น

Address Bar บน Web Browser นับว่าเป็นตัวชี้วัดความมั่นคงปลอดภัยในการท่องเว็บที่ดีที่สุด ช่องโหว่นี้อาจทำให้ผู้ใช้ Xiaomi ถูกหลอกว่าตัวเองกำลังเข้าถึงเว็บไซต์จริงหรือเว็บไซต์ที่มีความมั่นคงปลอดภัยอยู่ ทั้งที่จริงแล้วกำลังเข้าถึงเว็บไซต์ของแฮ็กเกอร์

Xiaomi ได้รับรายงานช่องโหว่จากนักวิจัยและพยายามออกแพตช์เพื่ออุดช่องโหว่นี้หลายครั้ง แต่จนถึงตอนนี้ Khan และนักล่า Bug Bounty นามว่า Renwa ยังคงสามารถบายพาสการแพตช์และโจมตีช่องโหว่ได้อยู่ดี

อย่างไรก็ตาม ช่องโหว่นี้ส่งผลกระทบบน MI และ Mint Browsers เวอร์ชันที่ให้บริการในต่างประเทศ เวอร์ชันที่ใช้ในประเทศจีนไม่ได้รับผลกระทบของช่องโหว่แต่อย่างใด

รายละเอียดเชิงเทคนิค: https://www.andmp.com/2019/04/xiaomi-url-spoofing-w-ssl-vulnerability.html

ที่มา: https://www.bleepingcomputer.com/news/security/xiaomi-browsers-still-vulnerable-after-failed-patches/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Facebook อาจถูกปรับสูงถึง 160,000 ล้านบาทจากการละเมิดความเป็นส่วนบุคคลของผู้ใช้

คาดว่า Facebook อาจถูกสั่งจ่ายค่าปรับให้ Federal Trade Commission (FTC) สูงถึง $5,000 ล้าน (ประมาณ 160,000 ล้านบาท) หลังจากกรณีละเมิดความเป็นส่วนบุคคลของผู้ใช้อันเนื่องมาจากคดี Cambridge …

Fortinet แต่งตั้ง Exclusive Networks เป็นผู้จัดจำหน่ายอย่างเป็นทางการในประเทศไทย

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูง ประกาศแต่งตั้ง Exclusive Networks (Thailand) เป็นผู้จัดจำหน่าย (Value-added Distributor) อย่างเป็นทางการในประเทศไทย พร้อมพลิกโฉมระบบรักษาความมั่นคงปลอดภัยไซเบอร์ให้แก่องค์กรทุกระดับทั่วทุกภูมิภาค ตั้งเป้าครองตำแหน่ง Security Vendor อันดับ …