Várias vulnerabilidades de segurança foram reveladas em diferentes aplicações e componentes de sistema em dispositivos Xiaomi que utilizam o sistema operacional Android. Essas falhas permitem desde o acesso a atividades, receptores e serviços arbitrários com privilégios de sistema até o roubo de arquivos e a exposição de dados de telefone, configurações e contas Xiaomi.

Entre as falhas mais críticas está um bug de injeção de comando shell que afeta o aplicativo System Tracing e problemas no aplicativo de Configurações que podem permitir o roubo de arquivos arbitrários e a divulgação de informações sobre dispositivos Bluetooth conectados, redes Wi-Fi e contatos de emergência. É importante notar que, embora os serviços de Telefone, Print Spooler, Configurações e System Tracing sejam componentes legítimos do Projeto Android Open Source (AOSP), eles foram modificados pela fabricante chinesa para incorporar funcionalidades adicionais, o que levou a essas vulnerabilidades.

Também foi descoberta uma falha de corrupção de memória no aplicativo GetApps, originada de uma biblioteca do Android chamada LiveEventBus. A falha foi reportada aos mantenedores do projeto há mais de um ano e ainda não foi corrigida.

O aplicativo Mi Video foi encontrado utilizando intenções implícitas para enviar informações de conta Xiaomi, como nome de usuário e endereço de e-mail, por meio de transmissões que podem ser interceptadas por qualquer aplicativo de terceiros instalado nos dispositivos usando seus próprios receptores de transmissão.