CDIC 2023

เตือนช่องโหว่บนเบราว์เซอร์ Xiaomi จนถึงตอนนี้ยังไม่มีแพตช์ที่สมบูรณ์

Arif Khan นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาแจ้งเตือนถึงช่องโหว่บนแอป Web Browser ที่ถูกติดตั้งมาจากโรงงานของสมาร์ตโฟน Xiaomi ทั้ง Mi และ Redmi ได้แก่ MI Browser และ Mint Browser ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบปลอม URL ได้โดยที่ผู้ใช้ไม่รู้ตัว เสี่ยงอาจถูกโจมตีแบบ Phishing จนถึงตอนนี้ Xiaomi พยายามออกแพตช์มาแล้วหลายครั้งแต่ยังคงมีช่องโหว่อยู่

Credit: Mi.com

ช่องโหว่ที่ Khan ค้นพบมีรหัส CVE-2019-10875 เป็นช่องโหว่ URL Spoofing เนื่องจากความบกพร่องเชิงตรรกะ (Logical Flaw) บนอินเทอร์เฟสของ MI และ Mint Browsers ซึ่งช่วยให้เว็บไซต์อันตรายสามารถควบคุมการแสดงผลบน Address Bar ของแอปพลิเคชันทั้งสองได้ กล่าวคือ MI และ Mint ไม่สามารถจัดการพารามิเตอร์ “q” บน URL ได้อย่างเหมาะสม ส่งผลให้ค่าตัวแปรของพารามิเตอร์ q ถูกนำมาแสดงผลบน URL แทน เช่น phishing-site.com/?q=facebook.com แอปพลิเคชันจะแสดงผลเป็น facebook.com แทน เป็นต้น

Address Bar บน Web Browser นับว่าเป็นตัวชี้วัดความมั่นคงปลอดภัยในการท่องเว็บที่ดีที่สุด ช่องโหว่นี้อาจทำให้ผู้ใช้ Xiaomi ถูกหลอกว่าตัวเองกำลังเข้าถึงเว็บไซต์จริงหรือเว็บไซต์ที่มีความมั่นคงปลอดภัยอยู่ ทั้งที่จริงแล้วกำลังเข้าถึงเว็บไซต์ของแฮ็กเกอร์

Xiaomi ได้รับรายงานช่องโหว่จากนักวิจัยและพยายามออกแพตช์เพื่ออุดช่องโหว่นี้หลายครั้ง แต่จนถึงตอนนี้ Khan และนักล่า Bug Bounty นามว่า Renwa ยังคงสามารถบายพาสการแพตช์และโจมตีช่องโหว่ได้อยู่ดี

อย่างไรก็ตาม ช่องโหว่นี้ส่งผลกระทบบน MI และ Mint Browsers เวอร์ชันที่ให้บริการในต่างประเทศ เวอร์ชันที่ใช้ในประเทศจีนไม่ได้รับผลกระทบของช่องโหว่แต่อย่างใด

รายละเอียดเชิงเทคนิค: https://www.andmp.com/2019/04/xiaomi-url-spoofing-w-ssl-vulnerability.html

ที่มา: https://www.bleepingcomputer.com/news/security/xiaomi-browsers-still-vulnerable-after-failed-patches/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก [Guest Post]

WatchGuard AuthPoint MFA ระบบยืนยันตัวตน 2 ชั้น ป้องกันรหัสผ่านถูกแฮ็ก รับมือการขโมยข้อมูลระดับสูง แฮ็กเกอร์มักใช้การโจมตีทางวิศวกรรมสังคมเพื่อเข้าถึงข้อมูลประจำตัวขององค์กรและเจาะระบบเครือข่ายขนาดใหญ่ เมื่อโจมตีเข้าสู่เครือข่ายองค์กร แฮ็กเกอร์มักจะใช้ข้อมูลประจำตัวการเข้าสู่ระบบของพนักงานที่ถูกขโมยเพื่อเข้าถึง VPN และระบบเครือข่าย

Whoscall เตือน!! ระวังมิจฉาชีพใช้ AI ปลอมเสียง หลอกลวงเหยื่อ [Guest Post]

Gogolook ผู้พัฒนาแอปพลิเคชัน Whoscall และผู้ให้บริการทางด้านเทคโนโลยี เพื่อความเชื่อมั่น (TrustTech) เตือนภัยมิจฉาชีพในประเทศไทยเริ่มใช้วิธีหลอกลวงใหม่ด้วยเทคโนโลยี AI ปลอมเสียง คำเตือนดังกล่าวเกิดขึ้นในขณะที่ Gogolook เข้าร่วมเป็นพันธมิตรองค์กรต่อต้านกลโกงระดับโลก GASA (The Global …