Студент Нідерландського університету Тайс Броенінк виявив у своєму смартфоні від Xiaomi уразливість, яка дозволяє зловмисникам непомітно встановити на пристрій будь-який додаток.
Броенінк виявив в своєму смартфоні додаток AnalyticsCore, який працював 24 години на добу, і який неможливо було видалити зі смартфона. Вивчивши програмний код додатка, Броенінк встановив, що він кожні 24 години перевіряє наявність оновлень на серверах Xiaomi. Він відправляє дані ідентифікації пристрою, включаючи модель, IMEI, MAC-адресу, Nonce, ім'я пакету, а також підпис. Якщо він знаходить на сервері компанії новий APK-файл з назвою "Analytics.арк", то завантажує і встановлює їх без відома користувача.
Студент виявив, що процес оновлення на пристроях Xiaomi відбувається без підтвердження правильності завантажуваних файлів, а це значить, що зловмисники можуть перехопити сигнал і відправляти на пристрій заражені програми. Більш того, сама компанія Xiaomi може встановити на будь-який пристрій додаток, видавши його за Analytics.арк, а користувач навіть нічого не буде знати про це.
Раніше компанія Opera оголосила про те, що сервіс синхронізації її браузера був зламаний хакерами. За відомостями компанії, паролі від акаунтів Opera залишилися в безпеці, але в руках зловмисників опинилися логіни.