小伙很生气，他不喜欢未经许可收集用户信息的应用，因此对它进行了逆向工程， 发现该应用每24小时会访问小米官方服务器检查更新，在发送请求时它会同时发送设备的识别信息，包括手机的IMEI、型号、MAC地址、Nonce、包名字和签名。如果服务器上有名叫Analytics.apk的更新应用，它会自动下载和安装，atv，整个过程无需用户干预。

　　如果应用安装时没有任何验证，该漏洞能被黑客利用，或者小米只需要将想要安装的应用重命名为Analytics.apk就可以将其推送给用户，而且该设备是通过HTTP发送请求和接收更新，这意味着用户很容易遭到中间人攻击。

　　看样子，一个大新闻要搞出来了！

　　详情请见：小米手机藏后门可远程安装任意APP？真相如此惊悚吗？