Se você possui um smartphone Mi ou Redmi, ambos da da Xiaomi, é melhor evitar abrir o navegador Mi, que já vem pré-instalado nos telefones da gigante, ou o Mint, também disponível na Google Play para demais aparelhos Android. Isso porque, segundo o The Hacker News, ambos os aplicativos desenvolvidos pela companhia chinesa possuem uma vulnerabilidade crítica, que permite contornar até mesmo os endereços eletrônicos (as URLs) na rede. E o problema segue sem correção, apesar da Xiaomi já ter sido avisada.

A fragilidade, identificada pelo código CVE-2019-10875, é uma falsificação na barra de endereço dos navegadores, que se origina a partir de uma falha lógica nas interfaces do Mi e do Mint. Essa falha, descoberta pelo pesquisador de segurança Arif Khan, permite que um site malicioso manipule as URLs exibidas na barra do navegador, sejam elas de endereços seguros (https) ou não. Ou seja, aquilo que parece um site de confiança à primeira vista pode estar te abastecendo com phishing ou conteúdo malicioso.

A barra de endereço de um navegador é o indicador de segurança mais confiável e essencial que existe. Por isso, uma vez burlada, ela pode ser utilizada facilmente para enganar as pessoas. No caso da Xiaomi, os navegadores afetados não estão operando adequadamente o parâmetro de busca “q” nas URLs, assim não exibem a fração de um endereço https que precede o trecho “?q=” na barra do navegador. Veja o problema no vídeo abaixo:

publicidade

Atualmente, os ataques de phishing são mais sofisticados e cada vez mais difíceis de serem reconhecidos. E a vulnerabilidade de falsificação da URL leva esse problema um degrau acima. Ela permite que se passe batido por indicadores básicos como o certificado SSL, que é um instrumento importante para determinar se um site é falso.

O problema não é doméstico

O The Hacker News verificou de forma independente a vulnerabilidade, utilizando uma Prova de Conceito e confirma que ela funciona atualmente nas últimas versões de ambos os navegadores: o MI Browser (v10.5.6-g) e Mint Browser (v1.5.3).

O que é interessante nisso? Os pesquisadores que descobriram o bug também confirmaram que o problema de segurança só afeta versões internacionais dos dois navegadores, enquanto as variações domésticas, distribuídas com smartphones da Xiaomi na China não contêm essa falha. “Foi feito deliberadamente assim?”, questiona Arif ao The Hacker News em um email. “Os fabricantes de dispositivos chineses estão intencionalmente tornando seus sistemas operacionais, aplicativos e firmware vulneráveis para seus usuários internacionais?”

Outro fato curioso é que, ao relatar o problema, a Xiaomi até recompensou o pesquisador com uma bonificação por bug, mas manteve a vulnerabilidade sem correção. “A vulnerabilidade atinge milhões de usuários globalmente, mas, ainda assim, o prêmio dado por isso foi de US$ 99 (pelo Mi Browser) e outros US$ 99 (pelo Mint Browser),” afirmou o pesquisador.

Xiaomi na rota do cibercrime

Dias antes da publicação da reportagem, o The Hacker News procurou a Xiaomi. E a resposta foi um pouco evasiva: “Eu gostaria de informá-lo de que não há nenhuma atualização oficial sobre o assunto. No entanto, solicitamos que você fique conectado à página do fórum para mais detalhes a respeito”, disse a empresa. Essa é a segunda falha grave descoberta nos últimos dias. Ambas foram identificadas em apps pré-instalados em mais de 150 milhões de dispositivos Android produzidos pela Xiaomi.

Portanto, aos usuários de Android, é altamente recomendado usar navegadores modernos que não sejam afetados por essa vulnerabilidade, como o Chrome ou o Firefox. Além disso, se possuir o navegador Microsoft Edge ou Internet Explorer em sua área de trabalho, evite usá-los, pois os dois navegadores também contêm uma vulnerabilidade crítica que ainda não foi corrigida pela gigante norte-americana.

Fonte: The Hacker News