Vulnerabilidad en el navegador por defecto de Xiaomi permite realizar spoofing a URLs

Una vulnerabilidad en el navegador predeterminado que incorpora la versión Android de los dispositivos Xiaomi
permite realizar ataques de spoofing a las URLs visitadas a través del mismo, gracias a un fallo en la barra de navegación.

Una vulnerabilidad de spoofing en la barra de navegación permite al atacante hacer creer al usuario que se encuentra en una
página web que en realidad no es en la que está navegando. Esto que permite realizar, por ejemplo, ataques de phishing
mucho más creíbles, pues no solo se copia el aspecto de la web, sino que utilizando la vulnerabilidad de spoofing
el atacante puede engañar al usuario haciéndole creer que está visitando una URL legítima.

La vulnerabilidad, identificada como
CVE-2019-10875,
ha sido descubierta y reportada a Xiaomi por el investigador de seguridad
Arif Khan.
De acuerdo a la información que se ha hecho pública, la vulnerabilidad se debe a que el navegador no procesa
correctamente el parámetro q de las URLs, fallando
al mostrar la parte de la URL que va delante de ?q=.

De modo que, si la victima visita la URL de ejemplo: https://atacante.com/?q=www.bancolegitimo.com,
la barra del navegador mostrará únicamente www.bancolegitimo.com.

Como sabemos, en los navegadores de dispositivos móviles, la barra de navegación es el elemento
más fiable (y habitualmente el único) para comprobar de forma rápida si estamos navegando en el sitio legítimo o no,
por lo que esta vulnerabilidad se convierte en un problema de seguridad realmente grave.

Las versiones afectadas son: Xiaomi Mi browser 10.5.6-g (MIUI native browser)
y Mint Browser 1.5.3. Ambas versiones son las últimas versiones disponibles en el momento
en el que se escribe esta noticia.