Công ty bảo mật di động Oversecured cho biết: “Các lỗ hổng trong Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt dữ liệu điện thoại, thông tin cài đặt và tài khoản Xiaomi”.

- Gallery (com.miui.gallery)

- GetApps (com.xiaomi.mipicks)

- Mi Video (com.miui.videoplayer)

- MIUI Bluetooth (com.xiaomi.bluetooth)

- Phone Services (com.android.phone)

- Print Spooler (com.android.printspooler)

- Security (com.miui.securitycenter)

- Security Core Component (com.miui.securitycore)

- Settings (com.android.settings)

- ShareMe (com.xiaomi.midrop)

- System Tracing (com.android.traceur)

- Xiaomi Cloud (com.miui.cloudservice)

Một số lỗ hổng đáng chú ý bao gồm lỗi Shell command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng Wi-Fi được kết nối và danh bạ khẩn cấp.

Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services) , Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.

Cũng được phát hiện là một lỗ hổng hây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, lỗi này bắt nguồn từ một thư viện Android có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.

Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.

Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4 năm 2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.