По состоянию на 21 марта 2026 года на пользователей Xiaomi, Redmi и Poco обрушился целый ряд уязвимостей в системе безопасности, а необходимый ответ компании — обновление безопасности HyperOS за март 2026 года — до сих пор отсутствует.
В то время как миллионы устройств остаются незащищенными, сообщество специалистов по безопасности бьет тревогу по поводу трёх критических уязвимостей, которые могут привести к полной компрометации устройства. Текущая ситуация проста, но ужасающа: до выхода этого обновления практически каждый смартфон Xiaomi, Redmi и Poco является легкой мишенью для злоумышленников.
Опасная тройка неустраненных уязвимостей
Задержка с выпуском обновления в марте 2026 года — это не просто задержка, это катастрофа, поскольку отсутствующее обновление является единственной известной защитой от трех различных и серьезных уязвимостей.
Эксплойт, использующий доверенную среду выполнения (TEE)
Эта уязвимость на аппаратном уровне, обнаруженная исследователями безопасности из компании Ledger Donjon, нацелена на защищенную среду процессора смартфона (TEE), которая призвана защитить ваши наиболее конфиденциальные данные: биометрические шаблоны, блокировку экрана (PIN-код/графический ключ) и криптографические сид-фразы для кошельков.
Исследователи продемонстрировали, что злоумышленники, имеющие физический доступ, могут обойти всю операционную систему Android и извлечь эти критически важные данные менее чем за 60 секунд. Эта уязвимость затрагивает огромное количество чипсетов MediaTek и Qualcomm, подвергая значительную часть продукции Xiaomi риску кражи финансовых средств и личных данных.
Эксплойт, аналогичный получению root-прав через ADB в HyperOS
В ядре версий HyperOS 2 и 3, включая текущие версии на базе Android 15, обнаружена новая уязвимость на программном уровне. Она позволяет любому пользователю со стандартным доступом к Android Debug Bridge (ADB) — обычно используемому для разработки или установки приложений из сторонних источников — выполнять команды с тем же уровнем прав доступа, что и на рутированном устройстве.
Это означает, что злоумышленник, имеющий физический доступ или доступ через ADB, может захватить устройство, обойти стандартные диалоги запроса разрешений и даже украсть данные, не защищенные TEE, и все это без срабатывания типичных предупреждений безопасности, связанных с реальным root-доступом.
Разблокировка загрузчика Fastboot для Snapdragon 8 Elite Gen 5
Пожалуй, самый вопиющий случай нарушения аппаратной безопасности — была обнаружена уязвимость в новейшем флагманском чипсете Qualcomm, носящем коммерческое наименование Snapdragon 8 Elite Gen 5.
В то время как разблокировка загрузчика обычно включает в себя очистку устройства для защиты пользовательских данных, эта уязвимость позволяет злоумышленнику разблокировать загрузчик флагманского телефона, просто прошив один файл через стандартный протокол Fastboot.
Этот метод обходит все протоколы безопасности, предоставляя злоумышленникам полный доступ к файловой системе и позволяя без труда установить постоянное шпионское ПО или скомпрометировать любые уровни безопасности.
Что нужно сделать, чтобы защитить себя?
Пока Xiaomi не выпустит обновление от марта 2026 года для вашей конкретной модели, ваше устройство находится в зоне риска. Пользователям необходимо немедленно принять чрезвычайные меры предосторожности вручную:
- Берегите своё устройство так же, как и кошелёк: все три уязвимости, особенно TEE и Fastboot, требуют физического доступа или подключения через ADB. Отключите «Меню разработчики», если оно включено.
- Немедленно отключите отладку по USB: если вы используете ADB или у вас включена отладка по USB (в параметрах разработчика), немедленно отключите её..
- Будьте предельно бдительны в отношении фишинга: избегайте установки приложений не из официального магазина Google Play и не подключайте ваше устройство к незнакомым компьютерам через USB.
- Ежедневно проверяйте наличие обновлений: не ждите уведомления по воздуху (OTA). Проверяйте обновления HyperOS вручную несколько раз в день. Как только появится обновление за март 2026 года, установите его.
P.S. Всё самое интересное о программной платформе HyperOS 3, включая анонсы новых прошивок HyperOS 3 Global, мы собираем в этом разделе, а с перечнем всех уже выпущенных глобальных обновлений HyperOS 3 можно ознакомиться здесь.