L'affaire a été souvelée par un étudiant néerlandais, Thijs Broenink, qui a été intrigé par la présence d'une application préinstallée dans son smartphone  Mi4: AnalyticsCore

Moyennant un peu de reverse engineering, il a analysé cette application en détail et livre ses conclusions dans un très intéressant billet.

L'application contacte les serveurs de Xiaomi toutes les 24 heures. Elle envoie des informations telles que adresse MAC ou modèle et éventuellement procède à sa mise à jour. Le problème est, selon Thijs Broenink, qu'à ce moment aucune vérification n'est faite. La signature du package n'est pas vérifiée notamment. Autrement dit tout package qui s'appelle Analytics.apk sera installé. Ce qui potentiellement, permet de placer n'importe quel code sur le smartphone. Donc pour Thijs, cette application est une backdoor.

Thijs recommande de bloquer tous les accès vers les domaines de Xiaomi.

De son côté, le constructeur ne nie pas la présence de cette application suspecte, mais assure qu'elle se limite à faire des annalyses visant à améliorer l'expérience utilisateur.