Фирменная оболочка MIUI от компании Xiaomi является одной из самых популярных в мире и на ее долю приходится приблизительно 6% рынка смартфонов.

Индийская компания eScan Antivirus сообщила, что в прошивке MIUI имеет место серьезная критическая уязвимость. Ее наличие позволяет злоумышленникам похитить данные с устройств на базе MIUI.

В прошивке есть приложение Mi Mover. Данное программное обеспечение позволяет восстановить личные данные при переходе с одного устройства Xiaomi на другое. Именно в это ПО и обнаружена брешь.

Примечательно, что Mi Mover обходит встроенные механизмы защиты Android, поэтому может передавать даже конфиденциальные данные, например, платёжную информацию. Для осуществления подобных операций требуется введение пароля.

Однако, компания eScan взяла Mi Max 2 и Redmi 4A и обнаружила, что на обоих смартфонах Mi Mover не потребовал пароля, графического ключа или отпечатка пальца для начала работы. Таким образом, злоумышленники могут достаточно легко похитить данные пользователей.

Примечательно, что в MIUI имеется связанная с правами администратора для приложений уязвимость. Управление правами или удаление приложения с расширенным доступом также требует ввода пароля, но Mi Max 2 не потребовал его.