Olhar Digital > Notícias > Mi e Mint: navegadores da Xiaomi têm graves vulnerabilidades e ainda sem solução. Confira o vídeo

Mi e Mint: navegadores da Xiaomi têm graves vulnerabilidades e ainda sem solução. Confira o vídeo

Pesquisadores afirmam que bugs afetam apenas as versões internacionais do browser, enquanto na China o problema não contém a falha
Redação08/04/2019 19h12, atualizada em 08/04/2019 21h30
20190224015918
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Se você possui um smartphone Mi ou Redmi, ambos da da Xiaomi, é melhor evitar abrir o navegador Mi, que já vem pré-instalado nos telefones da gigante, ou o Mint, também disponível na Google Play para demais aparelhos Android. Isso porque, segundo o The Hacker News, ambos os aplicativos desenvolvidos pela companhia chinesa possuem uma vulnerabilidade crítica, que permite contornar até mesmo os endereços eletrônicos (as URLs) na rede. E o problema segue sem correção, apesar da Xiaomi já ter sido avisada.

Ofertas
Fone de Ouvido Headphone P47 Sem Fio Bluetooth Wireless Micro Sd 5.0 Dobrável Com Microfone Regulável Para Corrida Academia Escritório Caminhada Linha Premium (Preto)
Vendido por Amazon
Fone de Ouvido Headphone P47 Sem Fio Bluetooth Wireless Micro Sd 5.0 Dobrável Com Microfone Regulável Para Corrida Academia Escritório Caminhada Linha Premium (Preto)
De: R$ 39,90
Por: R$ 19,90
Smart TV Multi Roku 32" HD 3 HDMI 2 USB Compatível com Alexa e Google Home - TL052M
Vendido por Amazon
Smart TV Multi Roku 32" HD 3 HDMI 2 USB Compatível com Alexa e Google Home - TL052M
De: R$ 1.149,00
Por: R$ 819,00
Carregador Super Turbo 50W Ultra Rápido Tipo C e USB Com Carregamento Rápido + Cabo Tipo C Compatível Com Todos Os Dispositivos, Android, Ios 15/16, Xiaomi - Todos Dispositivos Celulares
Vendido por Amazon
Carregador Super Turbo 50W Ultra Rápido Tipo C e USB Com Carregamento Rápido + Cabo Tipo C Compatível Com Todos Os Dispositivos, Android, Ios 15/16, Xiaomi - Todos Dispositivos Celulares
De: R$ 32,90
Por: R$ 22,90
Placa de Video MSI RTX 5060 Shadow 2X OC, 8GB, GDDR7-912-V537-037
Vendido por Amazon
Placa de Video MSI RTX 5060 Shadow 2X OC, 8GB, GDDR7-912-V537-037
De: R$ 2.920,14
Por: R$ 2.240,00
Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V
Vendido por Amazon
Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V
De: R$ 2.499,00
Por: R$ 1.998,89
Freezer Vertical Consul 231 Litros - CVU26FB 110V
Vendido por Amazon
Freezer Vertical Consul 231 Litros - CVU26FB 110V
De: R$ 3.279,35
Por: R$ 2.498,89
WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V
Vendido por Amazon
WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V
De: R$ 599,90
Por: R$ 404,90
MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W
Vendido por Amazon
MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W
De: R$ 189,90
Por: R$ 129,90
Climatizador de Ar Digital Midea 127V 60Hz
Vendido por Amazon
Climatizador de Ar Digital Midea 127V 60Hz
De: R$ 529,99
Por: R$ 412,69
Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm
Vendido por Amazon
Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm
De: R$ 799,00
Por: R$ 593,00
Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm
Vendido por Amazon
Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm
De: R$ 3.799,00
Por: R$ 3.598,94
Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais
Vendido por Amazon
Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais
De: R$ 649,00
Por: R$ 469,00
Notebook Acer Nitro V15 ANV15-41-R4Q9 R77735HS AMD Ryzen 7 32GB 512GB SSD NVIDIA RTX 4050 15.6” FHD LED IPS 165Hz AGPOS
Vendido por Amazon
Notebook Acer Nitro V15 ANV15-41-R4Q9 R77735HS AMD Ryzen 7 32GB 512GB SSD NVIDIA RTX 4050 15.6” FHD LED IPS 165Hz AGPOS
De: R$ 7.799,00
Por: R$ 5.610,00
Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica
Vendido por Amazon
Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica
De: R$ 699,00
Por: R$ 499,00
PlayStation DualSense Controle sem fio – Branco
Vendido por Amazon
PlayStation DualSense Controle sem fio – Branco
De: R$ 499,90
Por: R$ 369,00
Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt
Vendido por Amazon
Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt
De: R$ 2.489,00
Por: R$ 1.616,02
MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P
Vendido por Amazon
MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P
De: R$ 259,90
Por: R$ 179,90
Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W
Vendido por Amazon
Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W
De: R$ 3.599,00
Por: R$ 2.759,00
Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v
Vendido por Amazon
Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v
De: R$ 299,90
Por: R$ 199,00
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
Vendido por Amazon
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
De: R$ 249,00
Por: R$ 166,19
Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)
Vendido por Amazon
Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)
De: R$ 899,90
Por: R$ 399,00
WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt
Vendido por Amazon
WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt
De: R$ 229,90
Por: R$ 132,00
CAMERA INSTAX MINI 12 ROSA GLOSS
Vendido por Amazon
CAMERA INSTAX MINI 12 ROSA GLOSS
De: R$ 649,00
Por: R$ 505,00

A fragilidade, identificada pelo código CVE-2019-10875, é uma falsificação na barra de endereço dos navegadores, que se origina a partir de uma falha lógica nas interfaces do Mi e do Mint. Essa falha, descoberta pelo pesquisador de segurança Arif Khan, permite que um site malicioso manipule as URLs exibidas na barra do navegador, sejam elas de endereços seguros (https) ou não. Ou seja, aquilo que parece um site de confiança à primeira vista pode estar te abastecendo com phishing ou conteúdo malicioso.

A barra de endereço de um navegador é o indicador de segurança mais confiável e essencial que existe. Por isso, uma vez burlada, ela pode ser utilizada facilmente para enganar as pessoas. No caso da Xiaomi, os navegadores afetados não estão operando adequadamente o parâmetro de busca “q” nas URLs, assim não exibem a fração de um endereço https que precede o trecho “?q=” na barra do navegador. Veja o problema no vídeo abaixo:

Atualmente, os ataques de phishing são mais sofisticados e cada vez mais difíceis de serem reconhecidos. E a vulnerabilidade de falsificação da URL leva esse problema um degrau acima. Ela permite que se passe batido por indicadores básicos como o certificado SSL, que é um instrumento importante para determinar se um site é falso.

O problema não é doméstico

O The Hacker News verificou de forma independente a vulnerabilidade, utilizando uma Prova de Conceito e confirma que ela funciona atualmente nas últimas versões de ambos os navegadores: o MI Browser (v10.5.6-g) e Mint Browser (v1.5.3).

O que é interessante nisso? Os pesquisadores que descobriram o bug também confirmaram que o problema de segurança só afeta versões internacionais dos dois navegadores, enquanto as variações domésticas, distribuídas com smartphones da Xiaomi na China não contêm essa falha. “Foi feito deliberadamente assim?”, questiona Arif ao The Hacker News em um email. “Os fabricantes de dispositivos chineses estão intencionalmente tornando seus sistemas operacionais, aplicativos e firmware vulneráveis para seus usuários internacionais?”

Outro fato curioso é que, ao relatar o problema, a Xiaomi até recompensou o pesquisador com uma bonificação por bug, mas manteve a vulnerabilidade sem correção. “A vulnerabilidade atinge milhões de usuários globalmente, mas, ainda assim, o prêmio dado por isso foi de US$ 99 (pelo Mi Browser) e outros US$ 99 (pelo Mint Browser),” afirmou o pesquisador.

Xiaomi na rota do cibercrime

Dias antes da publicação da reportagem, o The Hacker News procurou a Xiaomi. E a resposta foi um pouco evasiva: “Eu gostaria de informá-lo de que não há nenhuma atualização oficial sobre o assunto. No entanto, solicitamos que você fique conectado à página do fórum para mais detalhes a respeito”, disse a empresa. Essa é a segunda falha grave descoberta nos últimos dias. Ambas foram identificadas em apps pré-instalados em mais de 150 milhões de dispositivos Android produzidos pela Xiaomi.

Portanto, aos usuários de Android, é altamente recomendado usar navegadores modernos que não sejam afetados por essa vulnerabilidade, como o Chrome ou o Firefox. Além disso, se possuir o navegador Microsoft Edge ou Internet Explorer em sua área de trabalho, evite usá-los, pois os dois navegadores também contêm uma vulnerabilidade crítica que ainda não foi corrigida pela gigante norte-americana.

Fonte: The Hacker News

Redator(a)

Redação é redator(a) no Olhar Digital

Ícone tagsTags: