Xiaomi memiliki masalah dalam menerapkan patch browsernya terhadap kerentanan yang memungkinkan spoofing URL yang sulit dideteksi oleh pengguna.
Kerentanan ini mempengaruhi versi internasional Mint Browser dan Mi, browser web yang sudah diinstal sebelumnya pada smartphone Xiaomi. Itu sudah di patch dan di patch kembali, namun ternyata browser Xiaomi masih rentan, yang mana dua produk tersebut hadir di jutaan perangkat.
Aktor berbahaya yang memanfaatkan masalah ini dapat membuat serangan phishing yang lebih kredibel dengan sedikit interaksi dari korban. Yang diperlukan hanyalah memikat mereka untuk mengunjungi tautan berbahaya.
Peneliti keamanan Arif Khan pada hari Jumat mengungkapkan bahwa kerentanan (CVE-2019-10875) berfungsi dengan baik situs web HTTP dan HTTPS dan dapat digunakan untuk menampilkan nama domain apa pun di bilah alamat.
“Ketika Anda mencoba untuk membuka tautan dengan bagian permintaan yang diisi URL itu, browser Xiaomi mencoba menampilkannya seperti mesin pencari dan menampilkannya di bilah pencarian,” jelas peneliti.
Khan mengatakan bahwa tim keamanan Xiaomi mengkonfirmasi bahwa masalah itu tidak ada pada versi domestik dari dua browser yang dikembangkan oleh produsen elektronik China.
Xiaomi berusaha memperbaiki masalah dalam versi terbaru dari browser Mint (v1.6.3, dirilis pada 5 April) dengan menambahkan aturan ekspresi reguler baru, tetapi langkah ini gagal.
Dengan menggunakan metode Khan, peretas dan bug hunter, Renwa dapat mem-bypass perbaikan, seperti yang terlihat dalam demonstrasi video di bawah ini:
Mengikuti laporan baru ini, Xiaomi kembali mencoba untuk memperbaiki kerentanan dengan merilis Mint Browser 1.6.4. Namun, ini dianggap sebagai kegagalan lain dalam memperbaiki CVE-2019-10875 dengan benar.
Beberapa hari yang lalu sejak artikel ini diterbitkan, Renwa membagikan cara baru untuk mem-bypass mitigasi terbaru vendor untuk spoofing URL di browser Mint-nya. Video di bawah ini menunjukkan bagaimana peneliti keamanan memuat Yahoo! tetapi bilah alamat menunjukkan halaman web seluler Facebook.
Sementara browser Mint menerima banyak perhatian, padanannya ditemukan pada jutaan ponsel cerdas Xiaomi yang terakhir diperbarui pada 3 Desember 2018. Ini berarti bahwa browser terus dipengaruhi oleh URL asli yang menunjukkan kerentanan spoofing yang ditemukan dan dilaporkan oleh Khan.
Meskipun hadir di lebih dari 100 juta perangkat, browser tersebut sepertinya bukan peramban pilihan. Namun, sejumlah besar pemilik ponsel cerdas Xiaomi mungkin akan terpengaruh.
