2 trình duyệt của Xiaomi dính lỗ hổng nghiêm trọng

(PLO) - Theo nhà nghiên cứu bảo mật Arif Khan, trình duyệt của Xiaomi đang dính lỗ hổng nghiêm trọng, cho phép tin tặc giả mạo URL.

Nếu đang sử dụng điện thoại Xiaomi (Redmi, Mi,…), bạn hãy tạm thời ngừng sử dụng trình duyệt mặc định trên thiết bị hoặc trình duyệt Mint (do Xiaomi phát triển).

Theo nhà nghiên cứu bảo mật Arif Khan, cả hai ứng dụng trình duyệt do Xiaomi phát triển đều dính lỗ hổng nghiêm trọng và chưa được vá lỗi.

Lỗ hổng CVE-2019-10875 bắt nguồn từ việc trình duyệt đã không xử lý đúng tham số truy vấn "q" trên URL, từ đó kẻ gian có thể lợi dụng việc này để dụ người dùng truy cập vào các trang web độc hại hoặc giả mạo. Bạn đọc quan tâm có thể tham khảo video thử nghiệm ngay bên dưới:

Có thể thấy, các cuộc tấn công lừa đảo ngày càng tinh vi và khó phát hiện hơn. Lỗ hổng hiện vẫn còn tồn tại trên các phiên bản mới nhất của cả hai ứng dụng gồm Mi Browser (v10.5.6-g) và Mint Browser (v1.5.3). 

Chia sẻ với trang Hacker News, Arif cho biết vấn đề này chỉ ảnh hưởng đối với các máy quốc tế, những thiết bị được phân phối ở Trung Quốc (phiên bản tiếng Trung hoặc bản nội địa) không chứa lỗ hổng này. Không rõ đây có phải là chủ ý của Xiaomi?

Khi báo cáo vấn đề với Xiaomi, công ty đã thưởng cho nhà nghiên cứu 99 USD cho Mi Browser và 99 USD cho Mint Browser. Tuy nhiên, lỗ hổng vẫn chưa được khắc phục và nó ảnh hưởng đến hàng triệu người dùng trên toàn cầu.

Hacker News đã liên hệ với Xiaomi một vài ngày trước nhưng không nhận được phản hồi từ công ty. 

Ở thời điểm hiện tại, người dùng Android nên chuyển sang sử dụng các trình duyệt web không bị ảnh hưởng bởi lỗ hổng này như Google Chrome hoặc Firefox.

Bên cạnh đó, nếu đang sử dụng trình duyệt Microsoft Edge hoặc Internet Explorer trên máy tính bàn, bạn cũng nên tránh sử dụng chúng vì cả hai trình duyệt đang dính một lỗ hổng nghiêm trọng chưa được vá lỗi.

Trước đó không lâu, ứng dụng bảo mật được cài sẵn trên các thiết bị Xiaomi - Guard Carrier cũng bị phát hiện chứa nhiều lỗ hổng bảo mật nghiêm trọng. 

Nếu cảm thấy hữu ích, bạn đừng quên chia sẻ bài viết trên kynguyenso.plo.vn cho nhiều người cùng biết.

Đọc thêm

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

7,3 triệu tin nhắn cảnh báo mưa lũ được gửi qua Zalo

(PLO)- Để chủ động ứng phó với tình hình mưa lớn, lũ quét, sạt lở đất và mưa đá, Cục Quản lý đê điều và phòng, chống thiên tai - Bộ Nông nghiệp và Môi trường đã phối hợp với Zalo gửi tin nhắn cảnh báo đến khu vực vùng núi và trung du Bắc Bộ.

Hậu trường Esports World Cup lên sóng trong loạt phim mới

Hậu trường Esports World Cup lên sóng trong loạt phim mới

(PLO)- Loạt phim tài liệu gồm 5 tập do đạo diễn đoạt giải Emmy R.J Cutler thực hiện, đưa khán giả đến với những câu chuyện con người đằng sau giải đấu esports lớn nhất thế giới, sẽ được phát hành trên YouTube dành cho khán giả Việt Nam

Cuộc đua AI trong ngành ngân hàng đang nóng lên

Cuộc đua AI trong ngành ngân hàng đang nóng lên

(PLO)- Sau giai đoạn đầu tập trung cho chuyển đổi số, nhiều ngân hàng đang bắt đầu tìm cách đưa AI vào các hoạt động vận hành hằng ngày nhằm tăng hiệu quả xử lý công việc và cải thiện trải nghiệm khách hàng.

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

Tin công nghệ 9-6: Mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay?

(PLO)- Tin công nghệ 9-6 sẽ có các nội dung như mong chờ gì tại sự kiện WWDC 2026 của Apple tối nay? Vì sao smartphone Android chưa phổ biến tính năng sạc không dây Qi2, OpenAI đang phát triển ChatGPT thành siêu ứng dụng, cách sử dụng công cụ chỉnh sửa Google Photos để làm ảnh nổi bật.

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

Viettel muốn tạo ra AI hiểu người Việt hơn ChatGPT?

(PLO)- Viettel AI vừa công bố VT-Super-120B-A12B, mô hình ngôn ngữ lớn tiếng Việt có quy mô 120 tỷ tham số, được phát triển nhằm phục vụ các bài toán đặc thù của cơ quan, tổ chức và doanh nghiệp trong nước.

Những ‘món quà’ bất ngờ từ phần mềm lậu

Những ‘món quà’ bất ngờ từ phần mềm lậu

(PLO)-Các doanh nghiệp chủ quan cho phép cài các phần mềm lậu hay phần mềm bẻ khóa (crack) lên các máy tính trong mạng nội bộ đã vô tình rước hiểm họa an ninh mạng trực tiếp vào hệ thống của tổ chức.