Студент из Нидерландов по имени Тийс Броенинк (Thijs Broenink), который изучает системы безопасности, обнаружил в смартфоне Xiaomi Mi4 приложение AnalyticsCore.apk, которое постоянно работает в фоновом режиме.

Результаты исследований указывают на то, что при помощи данного приложения компания Xiaomi может установить любое приложения на смартфон пользователя без его ведома. Если вы попробуете удалить AnalyticsCore.apk, то оно все равно вновь появится в списке приложений и будет связываться с серверами Xiaomi каждые 24 часа, устанавливая собственные обновления. Более того, связываясь с серверами Xiaomi, приложение AnalyticsCore.apk передает IMEI устройства.

Представители Xiaomi прокомментировали эту находку следующим образом: AnalyticsCore.apk отправляет различные данные об использовании устройства, которые в дальнейшем передаются разработчиками для улучшения оболочки MIUI и пользовательских впечатлений в целом. Что касается обновлений, то таковые действительно загружаются, но только в том случае, если они они имеют сертификат подлинности и распространяются исключительно производителем. То есть установить любые приложения при помощи AnalyticsCore.apk злоумышленникам не удастся, заявляют в Xiaomi.

Кроме того, Xiaomi опровергла обвинения Броенинка в том, что AnalyticsCore осуществляет связь с сервером по незашифрованному HTTP-соединению. С апреля этого года обновления происходит по защищенному соединению HTTPS, которое исключает возможность перехвата трафика и атак типа «человек посередине» (Man in the middle).