ប្រយ័ត្ន ប្រសិនបើអ្នកកំពុងប្រើប្រាស់ទូរស័ព្ទឆ្លាតវៃ Mi ឬ Redmi របស់ក្រុមហ៊ុន Xiaomi អ្នកគួរតែធ្វើបច្ចុប្បន្នភាពកម្មវិធីរុករក MI ដែលមានស្រាប់ ឬកម្មវិធីរុករក Mint ដែលអាចរកនៅលើ Google Play Store សម្រាប់ឧបករណ៍ Android ដែលមិនមែនជាទូរស័ព្ទ Xiaomi ។អ្នកស្រាវជ្រាវម្នាក់ប្រាប់ The Hacker News ថា ដោយសារតែកម្មវិធីរុករកបណ្ដាញទាំងពីរដែលបង្កើតឡើងដោយក្រុមហ៊ុន Xiaomi ងាយរងគ្រោះដល់ភាពងាយរងគ្រោះខ្លាំងដែលមិនទាន់ត្រូវជួសជុលសូម្បីតែបន្ទាប់ពីត្រូវរាយការណ៍ជាឯកជនទៅកាន់ក្រុមហ៊ុនហើយក៏ដោយ។
ភាពងាយរងគ្រោះដែលត្រូវកំណត់អត្តសញ្ញាណថាជា CVE-២០១៩-១០៨៧៥ និងត្រូវរកឃើញដោយអ្នកស្រាវជ្រាវសុវត្ថិភាព Arif Khan គឺជាបញ្ហានៃអាស័យដ្ឋានកម្មវិធីរុករកបណ្តាញដែលបណ្តាលមកពីគុណវិបត្តិឡូជីខលនៅក្នុងចំណុចប្រទាក់របស់កម្មវិធីរុករកដែលអនុញ្ញាតឱ្យគេហទំព័រដែលមានគំនិតអាក្រក់ដើម្បីត្រួតពិនិត្យ URLs ដែលបង្ហាញនៅក្នុងរបារអាសយដ្ឋាន។យោងទៅតាមការណែនាំ កម្មវិធីរុករកដែលរងផលប៉ះពាល់មិនត្រឹមត្រូវក្នុងការដោះស្រាយប៉ារ៉ាម៉ែត្រសំណួរ “q” ក្នុង URLs ដូច្នេះ វាមិនបង្ហាញផ្នែកនៃ https URL មុននឹង ?q= ខ្សែអក្សររងនៅក្នុងរបារអាសយដ្ឋាន។
ដោយសារតែរបារអាសយដ្ឋានរបស់កម្មវិធីរុករកអ៊ីនធឺរណិតគឺជាសូចនាករសន្ដិសុខដ៏គួរឱ្យទុកចិត្តបំផុតនិងសំខាន់បំផុតនោះ កំហុសអាចត្រូវប្រើដើម្បីបោកឱ្យអ្នកប្រើប្រាស់ Xiaomi ងាយស្រួលគិតថាពួកគេកំពុងចូលគេហទំព័រដែលជឿទុកចិត្តនៅពេលដែលកំពុងត្រូវគេប្រើប្រាស់ជាមួយមាតិកាក្លែងបន្លំឬព្យាបាទ។ការវាយប្រហារលួចឆ្មក់នាពេលបច្ចុប្បន្ននេះមានភាពស្មុគស្មាញនិងពិបាកកាន់តែខ្លាំងឡើងដើម្បីរកឃើញនិងភាពងាយរងគ្រោះ URL នេះចៀសវាងវាទៅកម្រិតមួយផ្សេងទៀតដែលអនុញ្ញាតឱ្យអ្នករំលងសូចនាករជាមូលដ្ឋានដូចជា URL និង SSL ដែលជាចំណុចដំបូងដែលអ្នកប្រើប្រាស់ពិនិត្យមើលថាតើគេហទំព័រមួយណាក្លែងក្លាយ។
The Hacker News ផ្ទៀងផ្ទាត់ដោយភាពឯករាជ្យនូវភាពងាយរងគ្រោះដោយប្រើប្រាស់ PoC ដែលជាអ្នកស្រាវជ្រាវដែលចែករំលែកជាមួយក្រុមរបស់យើងហើយអាចបញ្ជាក់ថាវាដំណើរការលើកំណែចុងក្រោយបំផុតនៃកម្មវិធីរុករកបណ្តាញទាំងពីរ គឺ MI Browser (v១០.៥.៦-g) និង Mint Browser (v១.៥.៣) ដែលមាននៅពេលសរសេរ។តើអ្វីដែលគួរឱ្យចាប់អារម្មណ៍? អ្នកស្រាវជ្រាវក៏បញ្ជាក់ផងដែរថា The Hacker News និយាយថាបញ្ហានេះមានឥទ្ធិពលលើវ៉ារ្យង់អន្តរជាតិទាំងពីរនៅក្នុងកម្មវិធីរុករកអ៊ីនធឺរណិត តែទោះបីជាកំណែក្នុងស្រុកដែលចែកចាយជាមួយស្មាតហ្វូន Xiaomi នៅក្នុងប្រទេសចិនមិនមានភាពងាយរងគ្រោះនេះក៏ដោយ។
Arif ប្រាប់ The Hacker News នៅក្នុងសារអេឡិចត្រូនិចមួយថា “អ្វីដែលធ្វើឱ្យខ្ញុំភ្ញាក់ផ្អើលបំផុតនោះគឺថាមានតែកំណែជំនាន់ក្រៅប្រទេសឬអន្តរជាតិរបស់ពួកគេប៉ុណ្ណោះដែលមានកំហុសឆ្គងសន្តិសុខនិងមិនមែនរបស់ចិនពួកគេឬកំណែជំនាន់ក្នុងស្រុកទេ។ តើវាត្រូវធ្វើដោយចេតនា?””តើអ្នកផលិតឧបករណ៍របស់ចិនមានចេតនាបង្កើតប្រព័ន្ធប្រតិបត្តិការ OS កម្មវិធី និងកម្មវិធីបង្កប់ដែលងាយរងគ្រោះសម្រាប់អ្នកប្រើអន្ដរជាតិរបស់ពួកគេឬ?”
រឿងចំលែកដែលគួរឱ្យចាប់អារម្មណ៍មួយផ្សេងទៀតគឺថានៅពេលរាយការណ៍ពីបញ្ហានេះ Xiaomi ផ្តល់ រង្វាន់ដល់អ្នកស្រាវជ្រាវជាមួយនឹងរង្វាន់កំហុសមួយ ប៉ុន្តែចាកចេញពីភាពងាយរងគ្រោះដែលមិនដាក់។អ្នកស្រាវជ្រាវនិយាយថា “ភាពងាយរងគ្រោះប៉ះពាល់ដល់អ្នកប្រើប្រាស់រាប់លាននាក់នៅទូទាំងពិភពលោក ប៉ុន្ដែរង្វាន់ដែលផ្តល់ឱ្យបែបនេះគឺ ៩៩ដុល្លារ (សម្រាប់ Mi Browser) និង ៩៩ដុល្លារទៀតសម្រាប់ Mint Browser” ។
យើងក៏ទាក់ទង Xiaomi ពីរថ្ងៃមុននឹងការបោះពុម្ពរបាយការណ៍នេះដើម្បីទទួលអត្ថាធិប្បាយបន្ថែមហើយរៀនថាតើក្រុមហ៊ុនមានគម្រោងនឹងចេញកំណែជួលជុលគ្រប់ពេលឆាប់ៗនេះ ប៉ុន្ដែអ្នកលក់ទូរស័ព្ទផ្តល់ការឆ្លើយតបដ៏ចំលែក។ក្រុមហ៊ុននេះនិយាយថា “ខ្ញុំសូមជូនដំណឹងដល់អ្នកថាមិនមានការធ្វើបច្ចុប្បន្នភាពជាផ្លូវការទាក់ទងនឹងបញ្ហានោះទេ។ ប៉ុន្តែ ក្រុមហ៊ុននឹងស្នើឱ្យអ្នកភ្ជាប់ទំនាក់ទំនងជាមួយទំព័រវេទិកាសម្រាប់ព័ត៌មានលម្អិតបន្ថែមទៀត” ។
នេះគឺជាបញ្ហាធ្ងន់ធ្ងរលើកទី២ ដែលក្រុមអ្នកស្រាវជ្រាវរកឃើញនៅក្នុងកម្មវិធីដែលដំឡើងជាមុនលើឧបករណ៍ Android ជាង ១៥០លានដែលផលិតដោយ Xiaomi ។កាលពីថ្ងៃពុធម្សិលមិញនេះ The Hacker News ចុះផ្សាយពីព័ត៌មានលម្អិតស្តីអំពីរបៀបដែលអ្នកវាយប្រហារអាចបើកកម្មវិធីសុវត្ថិភាពដែលដំឡើងរួចជាស្រេចនៅលើទូរស័ព្ទ Xiaomi ដែលហៅថា Guard Provider ទៅជាមេរោគដោយការទាញយកភាពងាយរងគ្រោះជាច្រើននៅក្នុងកម្មវិធី។
អ្នកប្រើ Android ត្រូវគេណែនាំយ៉ាងខ្លាំងក្នុងការប្រើកម្មវិធីរុករកបណ្តាញទំនើបដែលមិនត្រូវរងផលប៉ះពាល់ដោយភាពងាយរងគ្រោះនេះដូចជា Chrome ឬ Firefox ។ក្រៅពីនេះ ប្រសិនបើអ្នកកំពុងប្រើកម្មវិធី Microsoft Edge ឬ Internet Explorer នៅលើកុំព្យូទ័ររបស់អ្នក អ្នកក៏គួរជៀសវាងការប្រើប្រាស់វាផងដែរព្រោះកម្មវិធីរុករកទាំងពីរនេះមានភាពងាយរងគ្រោះខ្លាំងដែលមិនទាន់ត្រូវជួសជុលដោយអ្នកជំនាញបច្ចេកវិទ្យា។
Xiaomi ធ្វើឱ្យខូចភាពងាយរងគ្រោះនៃកម្មវិធីរុករក
អ្នកនាំពាក្យម្នាក់ទៀតរបស់ក្រុមហ៊ុន Xiaomi នៅថ្ងៃនេះបញ្ជាក់ប្រាប់ The Hacker News ថាព័ត៌មានដែលបង្ហាញជាសាធារណៈដែលលើកឡើងខាងលើនេះត្រូវកែតម្រូវនៅក្នុងកំណែចុងក្រោយបំផុតនៃកម្មវិធីរុករកទាំងពីរដែលចេញផ្សាយកាលពីចុងសប្ដាហ៍មុន។អ្នកនាំពាក្យរូបនេះនិយាយថា “កំហុសនេះគឺជាលទ្ធផលនៃមុខងារបន្ថែមដើម្បីបង្កើនបទពិសោធន៍អ្នកប្រើដោយការលាក់ URL និងបង្ហាញតែពាក្យស្វែងរក” ។
ខណៈពេលដែលវាមានបំណងធ្វើការតែជាមួយ URL ជាក់លាក់ វាដំណើរការសម្រាប់ URL មួយចំនួនផ្សេងទៀតដែលអនុវត្តតាមលំនាំធម្មតាស្រដៀងគ្នា។ បញ្ហានេះត្រូវដោះស្រាយហើយការធ្វើបច្ចុប្បន្នភាពកំពុងត្រូវផ្សព្វផ្សាយដល់អ្នកប្រើទាំងអស់។ “”វាត្រូវរាយការណ៍តាមរយៈកម្មវិធីប្រាក់រង្វាន់របស់យើងដែលលើកទឹកចិត្តអ្នកជំនាញផ្នែកសន្តិសុខឱ្យរាយការណ៍ពីភាពងាយរងគ្រោះ។ Xiaomi ផ្តល់តម្លៃដល់មតិយោបល់ពីសហគមន៍សន្តិសុខហើយត្រូវប្តេជ្ញាចិត្តកែលម្អឥតឈប់ឈរដោយផ្អែកលើមតិយោបល់ទាំងអស់ដើម្បីបង្កើតផលិតផលដែលមានល្អនិងមានសុវត្ថិភាពជាងមុន” ។
