Nếu đang sử dụng điện thoại Xiaomi (Redmi, Mi,…), bạn hãy tạm thời ngừng sử dụng trình duyệt mặc định trên thiết bị hoặc trình duyệt Mint (do Xiaomi phát triển).
Theo nhà nghiên cứu bảo mật Arif Khan, cả hai ứng dụng trình duyệt do Xiaomi phát triển đều dính lỗ hổng nghiêm trọng và chưa được vá lỗi.
Lỗ hổng CVE-2019-10875 bắt nguồn từ việc trình duyệt đã không xử lý đúng tham số truy vấn "q" trên URL, từ đó kẻ gian có thể lợi dụng việc này để dụ người dùng truy cập vào các trang web độc hại hoặc giả mạo. Bạn đọc quan tâm có thể tham khảo video thử nghiệm ngay bên dưới:
Có thể thấy, các cuộc tấn công lừa đảo ngày càng tinh vi và khó phát hiện hơn. Lỗ hổng hiện vẫn còn tồn tại trên các phiên bản mới nhất của cả hai ứng dụng gồm Mi Browser (v10.5.6-g) và Mint Browser (v1.5.3).
Chia sẻ với trang Hacker News, Arif cho biết vấn đề này chỉ ảnh hưởng đối với các máy quốc tế, những thiết bị được phân phối ở Trung Quốc (phiên bản tiếng Trung hoặc bản nội địa) không chứa lỗ hổng này. Không rõ đây có phải là chủ ý của Xiaomi?
Khi báo cáo vấn đề với Xiaomi, công ty đã thưởng cho nhà nghiên cứu 99 USD cho Mi Browser và 99 USD cho Mint Browser. Tuy nhiên, lỗ hổng vẫn chưa được khắc phục và nó ảnh hưởng đến hàng triệu người dùng trên toàn cầu.
Hacker News đã liên hệ với Xiaomi một vài ngày trước nhưng không nhận được phản hồi từ công ty.
Ở thời điểm hiện tại, người dùng Android nên chuyển sang sử dụng các trình duyệt web không bị ảnh hưởng bởi lỗ hổng này như Google Chrome hoặc Firefox.
Bên cạnh đó, nếu đang sử dụng trình duyệt Microsoft Edge hoặc Internet Explorer trên máy tính bàn, bạn cũng nên tránh sử dụng chúng vì cả hai trình duyệt đang dính một lỗ hổng nghiêm trọng chưa được vá lỗi.
Trước đó không lâu, ứng dụng bảo mật được cài sẵn trên các thiết bị Xiaomi - Guard Carrier cũng bị phát hiện chứa nhiều lỗ hổng bảo mật nghiêm trọng.
Nếu cảm thấy hữu ích, bạn đừng quên chia sẻ bài viết trên kynguyenso.plo.vn cho nhiều người cùng biết.