Vulnerabilidad en el navegador por defecto de Xiaomi

Se ha descubierto una vulnerabilidad en el navegador predeterminado de los dispositivos Android de Xiaomi que permite realizar ataques despoofing.

Una vulnerabilidad en el navegador predeterminado que incorpora la versión Android de los dispositivos Xiaomi permite realizar ataques de spoofing a las URLs visitadas a través del mismo, gracias a un fallo en la barra de navegación. 

Una vulnerabilidad de spoofing en la barra de navegación permite al atacante hacer creer al usuario que se encuentra en una página web que en realidad no es en la que está navegando. Esto que permite realizar, por ejemplo, ataques de phishing mucho más creíbles, pues no solo se copia el aspecto de la web, sino que utilizando la vulnerabilidad de spoofing el atacante puede engañar al usuario haciéndole creer que está visitando una URL legítima. 

De acuerdo a la información que se ha hecho pública, la vulnerabilidad se debe a que el navegador no procesa correctamente el parámetro q de las URLs, fallando al mostrar la parte de la URL que va delante de ?q=. 

De modo que, si la victima visita la URL de ejemplo: https://atacante.com/?q=www.bancolegitimo.com, la barra del navegador mostrará únicamentewww.bancolegitimo.com. 

Como sabemos, en los navegadores de dispositivos móviles, la barra de navegación es el elemento más fiable (y habitualmente el único) para comprobar de forma rápida si estamos navegando en el sitio legítimo o no, por lo que esta vulnerabilidad se convierte en un problema de seguridad realmente grave. 

Las versiones afectadas son: Xiaomi Mi browser 10.5.6-g (MIUI native browser) y Mint Browser 1.5.3. Ambas versiones son las últimas versiones disponibles en el momento en el que se escribe esta noticia.  Una aclaración importante es que solo se dá en celulares internacionales y no los distribuídos en China.

Más información:
Fuente: TheHackerNews
CVE: CVE-2019-10875
Twitter: Arif Khan