Уязвимости – это такое же нормальное явление для программного обеспечения, как и, скажем, реклама. Главное, чтобы разработчик по возможности уберегал своих пользователей от их негативного воздействия, своевременно выпуская обновления с необходимыми баг-фиксами. От уязвимостей не застрахована ни Apple, ни Google, ни тем более Xiaomi. Вот только если первая и вторая прикладывают все усилия по их своевременному обнаружению, то вторая, что странно, не реагирует даже на прямые указания сторонних исследователей компьютерной безопасности.
Как выяснил программист Ариф Хан, в браузерах Mi Browser и Mint, автором и разработчиком которых является Xiaomi, присутствуют критические уязвимости. Благодаря их существованию вредоносные сайты могут манипулировать адресной строкой, подменяя в ней символы и тем самым вводя пользователя в заблуждение относительно подлинности ресурса, на котором он находится в данный момент. Таким образом удается выдавать фишинговые сайты за легитимные, которые обманным путем выманивают у посетителей учетные данные для доступа к их почте, банковским счетам и аккаунтам в социальных сетях.
Xiaomi ворует данные пользователей?
Но хуже всего то, что Xiaomi, которую оповестили о существовании уязвимостей, предпочла проигнорировать предупреждение. Компания выплатила Хану вознаграждение, но не приложила ни малейших усилий к устранению брешей, несмотря на авторитет информатора. Из этого можно сделать закономерный вывод, констатирует Хан, что для Xiaomi присутствие уязвимостей в ее браузерах – отнюдь не новость.
Если это действительно так, зачем Xiaomi может понадобиться то, что дискредитирует ее в глазах собственных пользователей? Быть может затем, что компания сама является одним из звеньев мошеннической цепи, собирая наши с вами данные и продавая их на сторону. Эту версию косвенно подтверждает недавняя уязвимость, которая обнаружилась во встроенном в MIUI антивирусном ПО, позволяя злоумышленникам загружать на уязвимые устройства вредоносные компоненты.