Công ty bảo mật di động Oversecured (Hoa Kỳ) cho biết: “Các lỗ hổng trong thiết bị Xiaomi có thể dẫn đến việc truy cập vào các hoạt động, thành phần và dịch vụ tùy ý với đặc quyền hệ thống, đánh cắp tệp tùy ý, gây lộ lọt , thông tin cài đặt và tài khoản Xiaomi”.

Các lỗ hổng ảnh hưởng đến nhiều ứng dụng và thành phần khác nhau, bao gồm: Gallery (com.miui.gallery); GetApps (com.xiaomi.mipicks); Mi Video (com.miui.videoplayer); MIUI Bluetooth (com.xiaomi.bluetooth); Phone Services (com.android.phone); Print Spooler (com.android.printspooler); Security (com.miui.securitycenter); Security Core Component (com.miui.securitycore); Settings (com.android.settings); ShareMe (com.xiaomi.midrop); System Tracing (com.android.traceur) và Xiaomi Cloud (com.miui.cloudservice).

Một số đáng chú ý bao gồm lỗi Command injection ảnh hưởng đến ứng dụng Theo dõi hệ thống (System Tracing) và các lỗi trong ứng dụng Cài đặt (Settings) có thể cho phép đánh cắp các tệp tùy ý cũng như rò rỉ thông tin về thiết bị Bluetooth, mạng WiFi được kết nối và danh bạ khẩn cấp.

Điều đáng chú ý là mặc dù Dịch vụ điện thoại (Phone Services), Dịch vụ máy in (Print Spooler), Cài đặt và Theo dõi hệ thống là các thành phần hợp pháp từ Dự án mã nguồn mở Android (AOSP), nhưng chúng đã được Xiaomi sửa đổi cho phù hợp với các chức năng bổ sung, dẫn đến những sai sót này.

Một lỗ hổng khác gây hỏng bộ nhớ ảnh hưởng đến ứng dụng GetApps, bắt nguồn từ một thư viện có tên LiveEventBus mà Oversecured cho biết là đã được báo cáo cho những người bảo trì dự án hơn một năm trước nhưng đến nay vẫn chưa được giải quyết.

Ứng dụng Mi Video được phát hiện đã sử dụng implicit intents để gửi thông tin tài khoản Xiaomi, chẳng hạn như tên người dùng và địa chỉ email thông qua kênh broadcasts, dẫn đến việc thông tin có thể bị truy cập trái phép bởi một ứng dụng bên thứ ba.

Oversecured cho biết các vấn đề đã được báo cáo cho Xiaomi từ cuối tháng 4/2023. Người dùng được khuyến nghị áp dụng các bản cập nhật mới nhất ngay khi chúng có sẵn để giảm thiểu các mối đe dọa tiềm ẩn.