A vulnerabilidade é dada pelo CVE-2019-10875, e é caraterizada por um problema ou possibilidade de spoofing, isto é, uma falha decorrente de um problema lógico (logic flaw) da interface do browser, o que permite que um website malicioso controle os URL's na barra de endereços.

De acordo com o postulado no advisory, os browsers afetados não processam bem o parâmetro "q" nos URL's, não mostrando apropriadamente a porção do URL correspondente ao HTTPS antes da expressão "?q=" na barra de endereços.

Dado que o HTTPS é o indicativo mais forte de que estamos perante uma navegação segura, a falha pode facilmente enganar os utilizadores.

Pelo facto de os ataques de phishing estarem ainda mais sofisticados hoje em dia, esta falha torna esta situação ainda mais premente, permitindo ultrapassar indicadores básicos como o URL e SSL, que são os primeiros indicadores para os quais o utilizador presta atenção para averiguar se um site é falso ou não.

Fonte: https://www.fonearena.com/blog/279381/xiaomi-browser-vulnerability-url-spoofing.html