Thêm một lỗ hổng nghiêm trọng liên quan đến smartphone Xiaomi

Lỗ hổng này tồn tại trong phiên bản trình duyệt của Xiaomi cho phép hacker có thể giả mạo địa chỉ trang web của các trang uy tín.

Nếu bạn đang sử dụng điện thoại thông minh của Xiaomi như dòng Mi hoặc Redmi, bạn nên ngừng ngay lập tức sử dụng trình duyệt được tích hợp sẵn trong máy. Ngoài ra, với người dùng không xài điện thoại Xiaomi thì hãng tránh xa trình duyệt Mint của Xiaomi (có sẵn trên chợ ứng dụng Play Store) cho đến khi “bản vá” được phát hành.

Thêm một lỗ hổng nghiêm trọng liên quan đến smartphone Xiaomi
Thanh dịa chỉ trinh duyệt hiển thị sai

Nguyên nhân là vì cả hai ứng dụng trình duyệt web do Xiaomi tạo ra đều dễ bị hacker khai thác khi chưa vá lỗi. Lỗ hổng có mã CVE-2019-10875 được phát hiện bởi nhà nghiên cứu bảo mật Arif Khan cho thấy, hacker hoàn toàn có thể giả mạo thanh địa chỉ trình duyệt, điều này dẫn đến tình trạng bạn đang vào một trang web độc hại nhưng được hiển thị trên thanh địa chỉ là một trang web hoàn toàn vô hại.

Lỗi này bắt nguồn từ tham số q trên trình duyệt. Cụ thể, ví dụ một hacker “câu” được một nạn nhân mở một trang web có địa chỉ https://phishing-site.com?q=facebook.comphishing-site.com/?q=facebook.com thì trên thanh địa chỉ trình duyệt Xiaomi lại chỉ hiển thị http://facebook.com và có cả hình khoá SSL kế bên. Do thanh địa chỉ của trình duyệt web là chỉ số bảo mật quan trọng và đáng tin cậy nhất, nên lỗ hổng có thể được sử dụng để dễ dàng lừa người dùng Xiaomi nghĩ rằng họ đang truy cập một trang web đáng tin cậy trong khi lại đang ở một trang lừa đảo hoặc độc hại.

Các cuộc tấn công lừa đảo ngày nay tinh vi hơn và ngày càng khó phát hiện hơn và lỗ hổng giả mạo URL này đưa nó đến một cấp độ khác, cho phép một người bỏ qua các chỉ số cơ bản như URL và SSL, đây là điều đầu tiên người dùng kiểm tra để xác định xem trang web có phải là giả mạo.

 

Hiện tại lỗ hổng này vẫn tồn tại trong hai phiên bản trình duyệt mới nhất của Xiaomi bao gồm MI Browser (v10.5.6-g) và Mint Browser (v1.5.3). Một tình tiết rất bất ngờ kèm theo thông tin này đó là chỉ các thiết bị Xiaomi bản quốc tế mới gặp lỗ hổng này, trong khi đó các thiết bị Xiaomi nội địa (bán tại thị trường Trung Quốc) lại không tồn tại lỗi trên.

Hiện tại Xiaomi vẫn chưa có phản hồi gì về sự việc này. Đây là vấn đề nghiêm trọng thứ hai được tiết lộ gần đây mà các nhà nghiên cứu đã xác định trong các ứng dụng được cài đặt sẵn trên hơn 150 triệu thiết bị Android do Xiaomi sản xuất.

An Nhiên(theo The Hacker News)

Cảnh báo nguy cơ gia tăng trên máy tính ICS nhiễm mã độc

Cảnh báo nguy cơ gia tăng trên máy tính ICS nhiễm mã độc

 Tỷ lệ máy tính của Hệ thống điều khiển công nghiệp (ICS) bị nhiễm mã độc trong hoạt động mạng đã tăng từ 44% trong năm 2017 lên 47,2% trong năm 2018, cho thấy mối đe dọa đang gia tăng.

 
 

Không thể bỏ lỡ

.
 
Lỗ hổng biến trình diệt virus trên smartphone Xiaomi thành malware
Lỗ hổng biến trình diệt virus trên smartphone Xiaomi thành malware
Bảo mậticon  06/04/2019 

Hacker có thể biến ứng dụng diệt vi-rút được cài đặt sẵn trên điện thoại Xiaomi thành phần mềm độc hại.

 
Cảnh báo nguy cơ gia tăng trên máy tính ICS nhiễm mã độc
Cảnh báo nguy cơ gia tăng trên máy tính ICS nhiễm mã độc
Bảo mậticon  04/04/2019 

 Tỷ lệ máy tính của Hệ thống điều khiển công nghiệp (ICS) bị nhiễm mã độc trong hoạt động mạng đã tăng từ 44% trong năm 2017 lên 47,2% trong năm 2018, cho thấy mối đe dọa đang gia tăng.

 
Phát hiện nhiều camera quay lén trong phòng cho thuê của Airbnb
Phát hiện nhiều camera quay lén trong phòng cho thuê của Airbnb
Bảo mậticon  02/04/2019 

Airbnb tiếp tục gặp sự cố với các camera quay lén khi một cặp vợ chồng cư trú tại một địa điểm thuê trên Airbnb đã phát hiện ra một camera ẩn trong phòng của họ.

 
Hàng không Mỹ hủy gần nghìn chuyến bay vì lỗi phần mềm
Hàng không Mỹ hủy gần nghìn chuyến bay vì lỗi phần mềm
Bảo mậticon  02/04/2019 

Phần mềm quản lý bay do AeroData Inc. cung cấp bị lỗi sáng 1/4 khiến gần nghìn chuyến bay khắp nước Mỹ phải hủy bỏ.

 
Chuyên gia Nga truyền "bí kíp" bảo mật hệ thống tài chính, ngân hàng Việt Nam
Chuyên gia Nga truyền "bí kíp" bảo mật hệ thống tài chính, ngân hàng Việt Nam
Thông tin & Truyền thôngicon  01/04/2019 

 Đây là một nội dung quan trọng trong khóa đào tạo về phân tích mã độc tấn công vào các hệ thống tài chính, ngân hàng do Cục An toàn thông tin (Bộ TT&TT) tổ chức.

 
Số lượng các cuộc tấn công mạng nhằm vào Việt Nam giảm mạnh
Số lượng các cuộc tấn công mạng nhằm vào Việt Nam giảm mạnh
Bảo mậticon  01/04/2019 

 Đây là một thông tin tích cực trong bối cảnh Việt Nam thường xuyên nằm trong top 3 quốc gia bị tấn công mạng nhiều nhất năm 2018.

Tin tặc Anh vào tù vì hack Microsoft
Tin tặc Anh vào tù vì hack Microsoft
Bảo mậticon  01/04/2019 

Hai tin tặc người Anh đã bị tòa án London tuyên phạt 18 tháng tù giam sau khi bị buộc tội tấn công hệ thống máy chủ của Microsoft và Nintendo.

'Tính năng' trên trình duyệt UC Browser gây nguy hiểm cho người dùng
'Tính năng' trên trình duyệt UC Browser gây nguy hiểm cho người dùng
Bảo mậticon  29/03/2019 

Nếu bạn đang sử dụng UC Browser trên điện thoại thông minh của mình, bạn nên xem xét gỡ cài đặt nó ngay lập tức.

Microsoft phát hiện mánh khóe tính vi ẩn trong phần mềm Huawei
Microsoft phát hiện mánh khóe tính vi ẩn trong phần mềm Huawei
Bảo mậticon  27/03/2019 

Phần mềm Huawei Windows Software chạy trên nền tảng Windows của Microsoft bị phát hiện có lỗ hổng cho phép tin tặc chiếm đoạt quyền điều khiển cao nhất của hệ thống.

Asus nâng cấp phần mềm, tin tặc lợi dụng tấn công hàng trăm nghìn PC
Asus nâng cấp phần mềm, tin tặc lợi dụng tấn công hàng trăm nghìn PC
Bảo mậticon  26/03/2019 

Tin tặc đã xâm nhập vào phần mềm nâng cấp của Asus để cài backdoor trên ít nhất 500.000 máy tính Windows.

Hacker được thưởng ô tô Tesla vì xâm nhập thành công vào xe Model 3
Hacker được thưởng ô tô Tesla vì xâm nhập thành công vào xe Model 3
Bảo mậticon  25/03/2019 

Hai nhà nghiên cứu bảo mật chiến thắng cuộc thi Pwn2Own năm nay đã được thưởng 375.000 USD. Giải thưởng gồm cả một chiếc xe điện Tesla Model 3 vì đã hack thành công vào hệ thống thông tin giải trí của dòng xe này.

HMD thừa nhận điện thoại Nokia gửi dữ liệu cá nhân về Trung Quốc
HMD thừa nhận điện thoại Nokia gửi dữ liệu cá nhân về Trung Quốc
Bảo mậticon  25/03/2019 

HMD thừa nhận điện thoại Nokia 7 Plus đã bí mật gửi dữ liệu người dùng về máy chủ Trung Quốc.

100% máy tính Windows đang dính lỗi bảo mật nghiêm trọng này
100% máy tính Windows đang dính lỗi bảo mật nghiêm trọng này
Bảo mậticon  20/03/2019 

McAfee cảnh báo tin tặc đang khai thác lỗ hổng bảo mật đã tồn tại suốt 19 năm qua trong phần mềm nén và giải nén WinRAR.

Xuất hiện lỗ hổng điều khiển các thiết bị cấy ghép vào bệnh nhân
Xuất hiện lỗ hổng điều khiển các thiết bị cấy ghép vào bệnh nhân
Bảo mậticon  23/03/2019 

Một lỗ hổng nghiêm trọng cho phép hacker điều khiển các thiết bị được cấy vào bên trong bệnh nhân.

Phát hiện lỗ hổng zero-day trên Windows
Phát hiện lỗ hổng zero-day trên Windows
Bảo mậticon  18/03/2019 

Một lỗ hổng mới trên Microsoft Windows, được sử dụng trong các cuộc tấn công của ít nhất hai nhóm tin tặc, trong đó có SandCat, vừa được phát hiện.

Cách tìm iPhone bị thất lạc ngay cả khi tắt nguồn
Cách tìm iPhone bị thất lạc ngay cả khi tắt nguồn
Bảo mậticon  17/03/2019 

Nếu bạn không thể tìm thấy iPhone, ứng dụng Find iPhone sẽ là cứu cánh đáng tin cậy. Tuy nhiên, nếu iPhone bị tắt nguồn do hết pin, liệu Find iPhone có thể định vị nó hay không?

Ngân hàng Anh thử nghiệm thẻ tín dụng tích hợp cảm biến vân tay
Ngân hàng Anh thử nghiệm thẻ tín dụng tích hợp cảm biến vân tay
Bảo mậticon  16/03/2019 

Một ngân hàng ở Anh sẽ bắt đầu thử nghiệm thẻ thanh toán tích hợp cảm biến vân tay trong nỗ lực chấm dứt nhu cầu về mã PIN và để thanh toán an toàn hơn.

Giả danh công an phát tán mã độc đòi tiền chuộc nghìn USD
Giả danh công an phát tán mã độc đòi tiền chuộc nghìn USD
Bảo mậticon  15/03/2019 

 Theo VNCERT, hiện đang có chiến dịch phát tán mã độc tống tiền GandCrab 5.2 nhắm vào Việt Nam. Mã độc này thường phát tán qua email giả mạo Bộ Công an Việt Nam với tiêu đề “Goi trong Cong an Nhan dan Viet Nam”.

Việt Nam sẽ tặng Campuchia Trung tâm giám sát mạng
Việt Nam sẽ tặng Campuchia Trung tâm giám sát mạng
Thông tin & Truyền thôngicon  15/03/2019 

 Bộ trưởng Bộ TT&TT Nguyễn Mạnh Hùng cho biết, Thủ tướng Nguyễn Xuân Phúc mong muốn tặng đất nước Campuchia Trung tâm Giám sát an toàn an ninh mạng.

Facebook phủ nhận bị hacker tấn công
Facebook phủ nhận bị hacker tấn công
Bảo mậticon  14/03/2019 

Sau sự cố sập đồng loạt ở nhiều nơi trên thế giới vào rạng sáng 14/3, Facebook đã có những phát ngôn đầu tiên về việc sự cố này.

 
 
 
Hoàn thiện thông tin gửi bình luận

HOẶC ĐĂNG NHẬP NHANH BẰNG TÀI KHOẢN