Xiaomi может удаленно установить на любой смартфон собственного производства любое приложение. Вскрылось это после того, как эксперт обратил внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7.

После того, как на официальном форуме технической поддержки вопрос о происхождении AnalyticsCore.apk был проигнорирован, исследователь провел реверс-инжиниринг приложения и выяснил, что каждые 24 часа оно обменивается данными с официальными серверами компании.

Исследователи сообщили об обнаружении в MIUI опасной уязвимости, которая допускает удаленное выполнение произвольного кода.

Проблема затрагивает версии, вышедшие до MIUI Global Stable 7.2, и была обнаружена в аналитическом компоненте, который используется различными приложениями для сбора данных о собственной работе. Данный компонент имеет собственный механизм обновлений, который нельзя считать безопасным: он может быть скомпрометирован с помощью man-in-the-middle атаки и использован для заражения системы малварью.

Согласно заключениям экспертов, девайсы извлекали сообщения и фотографии даже при том, что  функция резервное копирование была отключена.

Специалисты по информационной безопасности многих стран раскритиковали китайских поставщиков телекоммуникационного оборудования за то, что они устанавливали бэкдоры в свои изделия. Именно поэтому на китайскую компанию Xiaomi, которая занимается производством смартфонов, подали в суд. В судебном иске было указано, что китайский изготовитель втайне извлекал персональную информацию своих пользователей, а после этого отправлял на серверы в Пекине.