Разработчики eScan Antivirus сообщили об обнаружении серьезных уязвимостей в оболочке MIUI от Xiaomi. Из‑за этих«дыр» пользователь может лишиться всех своих данных и попросту не суметь воспрепятствовать злоумышленникам.

«Брешь» в прошивке кроется в стандартном приложении Mi Mover, которое позволяет восстановить личные данные при переходе с одного устройства Xiaomi на другое. Алгоритмы работы этого инструмента обходят встроенные в Android средства защиты персональных данных, передавая при этом не только контакты, сообщения и фото, но также и сведения о платежных операциях, к примеру.

Обычно для осуществления подобного переноса конфиденциальных данных требуется пароль, отпечаток пальца или хотя бы графический ключ, однако Mi Mover при «переезде» с Mi Max 2 на Redmi 4A не потребовал ничего. То есть с Xiaomi на Xiaomi переносить данные быстро и удобно, но защиты при этом совершенно никакой, чем легко могут воспользоваться третьи лица.

Есть в MIUI и другая уязвимость, позволяющая обойти дополнительные средства защиты данных. Если, к примеру, пользователь настроил возможность удаленного доступа к смартфону через приложения вроде Cerberus, то злоумышленник, заполучив этот смартфон, может самостоятельно удалить сервис защиты без каких‑либо паролей и ключей. Хотя обычно удаление программ с расширенным доступом также требует подтверждения прав администратора — пароля или ключа.

Сами разработчики Xiaomi уже прокомментировали отчет eScan, заявив, что для получения данных через Mi Mover злоумышленнику необходимо разблокировать украденный смартфон. Это действительно так, однако неужели все пользователи активируют блокировки по отпечатку или ключу? Нет, есть и те, кто привык пользоваться одним лишь свайпом по экрану. Именно они, в первую очередь, и подвержены риску кражи не только самого смартфона, но и всех личных данных.