Smartphone andalan Xiaomi, Mi4, diketahui dijual bersama berbagai program jahat (malware) di dalamnya. Program berbahaya yang ditemukan di dalam sistem dikatakan mampu menampilkan iklan tak diinginkan dan mengambil alih perangkat korbannya. Program tersebut bernama BlueBox.
Menurut BlueBox, mereka mendapatkan perangkat Xiaomi Mi4 dengan program jahat tersebut langsung dari pasar. Produk itu pun dinyatakan asli, bukan tiruan, karena BlueBox sudah mengujinya menggunakan aplikasi “Mi Identification”. Sekadar informasi, “Mi Identification” merupakan aplikasi yang dikembangkan oleh Xiaomi untuk menguji apakah perangkat tersebut asli buatan Xiaomi atau tidak. BlueBox kemudian menguji Xiaomi Mi4 tersebut dengan berbagai aplikasi pencari malware dan antivirus untuk mencari program berbahaya dalam sistem Mi4. Hasilnya cukup mencengangkan, BlueBox mengaku menemukan setidaknya ada enam program berbahaya yang tertanam dalam sistem di Mi4 baru tersebut.
Program jahat yang ditemukan terdiri dari malware, adware yang “menyamar” sebagai aplikasi tersertifikasi Google, dan trojan, yang biasanya digunakan untuk mengambil kontrol perangkat korbannya. Salah satu program jahat yang ditemukan bernama “Yt Service”. Program tersebut masuk ke kategori adware, yang fungsinya menampilkan iklan tak diinginkan. Program ini sendiri disamarkan dengan nama “com.google.hfapservice”. BlueBox mengungkapkan, meski menggunakan nama Google, program tersebut sama sekali tidak ada kaitannya dengan Google.
“Perangkat (Xiaomi Mi4) tersebut rentan dari semua ancaman yang kami pindai,” tulis Andrew Blaich, pimpinan analis keamanan BlueBox. Blaich juga menuliskan bahwa sistem operasi yang digunakan di Mi4 itu, MIUI, belum disertifikasi oleh Google sehingga sangat rentan terhadap berbagai serangan.
Selain itu, ditemukan juga berbagai lubang keamanan yang terkait dengan OS Android versi lama. BlueBox menduga, OS yang digunakan di Mi4 merupakan gabungan antara KitKat 4.4.4 dan Android versi lama. Meski terdeteksi sebagai perangkat Xiaomi asli, muncul kecurigaan bahwa Mi4 yang didapatkan oleh BlueBox sebenarnya sudah dibajak oleh pihak ketiga sebelum dijual. Dugaan tersebut muncul ketika BlueBox menemukan bahwa signature aplikasi di perangkat tersebut berbeda dari signature Xiaomi.