Những lỗ hổng mới xuất phát từ một số ứng dụng và tính năng nhất định trên các model smartphone của Xiaomi. Đầu tiên là Mi Mover, ứng dụng cho phép chuyển mọi thiết lập và dữ liệu từ các thiết bị Android khác sang điện thoại Xiaomi.
Theo quy tắc thông thường, để bảo vệ dữ liệu người dùng trước khi chuyển dữ liệu, các hãng sẽ yêu cầu người dùng phải cung cấp mật khẩu trước khi bật Mi Mover. Mặc dù vậy, lỗ hổng bảo mật đã bất ngờ xuất hiện khi các chuyên gia thử nghiệm chuyển dữ liệu giữa hai chiếc Mi Max 2 và Redmi 4A.
Ứng dụng Mi Mover gần như không không yêu cầu mật khẩu hay các hình thức bảo mật khác như vân tay từ người dùng trước khi chuyển đổi.
Nguy hiểm hơn, lỗ hổng này sẽ tạo điều kiện cho tin tặc có thể khai thác để nhân bản hệ thống, lấy cắp dữ liệu ứng dụng dễ dàng. Kết hợp với đó, do Xiaomi hiện chưa trang bị tính năng bảo vệ Sandbox cho đa số smartphone nên người dùng càng dễ có nguy cơ bị tin tặc tấn công bằng hình thức tinh vi này.
Lỗ hổng bảo mật thứ hai trên MIUI đến từ tính năng quản trị thiết bị. Đa số các mẫu Android sẽ yêu cầu xác nhận quyền quản trị mỗi khi cài mới hoặc kích hoạt một ứng dụng vừa cài đặt. Tính năng này cũng yêu cầu người dùng phải nhập mật khẩu trước khi cấp quyền quản trị.
Tuy vậy, lỗ hổng phát hiện trên chiếc Mi Max 2 đã tắt yêu cầu nhập mật khẩu để cấp quyền truy cập quản trị cho thiết bị. Trong thử nghiệm khi gỡ ứng dụng chống trộm Cerberus (ứng dụng yêu cầu cấp quyền quản trị) trên Mi Max 2, máy không yêu cầu người dùng phải nhập mật khẩu để gỡ.
Như vậy đây là một lỗ hổng khá nguy hiểm nếu như tin tặc có thể chiếm quyền quản trị thiết bị và đánh cắp dữ liệu.
Xiaomi hiện đã đưa ra phản hồi "không đồng tình" với thông tin từ công ty eScan Antivirus. Xiaomi tái khẳng định đang tuân thủ đầy đủ các quy trình bảo vệ thiết bị và chính sách bảo mật do hãng đặt ra. Công ty Trung Quốc cũng đề nghị phía người dùng nên sử dụng mã PIN, cảm biến vân tay hay khóa mẫu để bảo mật thiết bị an toàn hơn.