Уязвимость присутствует в компоненте MIUI и позволяет злоумышленникам удаленно выполнять произвольный код на устройстве под управлением операционной системы Android во всех версиях приложения до MIUI Global Stable 7.2.

MIUI (произносится: «ми ю ай») — пользовательский интерфейс для смартфонов на основе операционной системы Android с открытым исходным кодом. Код самой прошивки MIUI является закрытым. Разрабатывается компанией Xiaomi Tech.

Уязвимость присутствует в пакете com.xiaomi.analytics. Поскольку аналитический модуль не проверяет загруженный пакет, а слепо выполняет его, то злоумышленники имеют возможность выполнять свой код с разрешениями весьма привилегированного пользователя Android SYSTEM.

Техническая сторона проблемы опирается на тот факт, что аналитический пакет для обновления использует HTTP для запроса сервера обновления, а затем этот пакет загружается также с помощью HTTP. Злоумышленники могут перехватывать эти запросы на обновления и поступать уже с ними на своё усмотрение, например, подменить оригинальный ответ сервера на поддельный.

MIUI по умолчанию ставят на все устройства, которые выпускает Xiaomi, потому в отношении устройств Xiaomi уязвимость может быть наиболее опасна. Также MIUI портирован на примерно 340 различных типов устройств от Nexus, Samsung и HTC. Поэтому пользователям нужно как можно быстрее обновить свои устройства до самой последней версии.