美国安全公司指责小米4手机预装恶意APP，小米否认

问题2：定制版本的Android ROM

市面上有两种定制Android ROM——“兼容的”和“非兼容的”。

兼容定制的Android ROM是基于Android开源项目(AOSP)修改的，遵从Android兼容性定义文档(CDD)，并且通过了兼容性测试工具(CTS)；而“非兼容”的ROM是基于Android开源项目(AOSP)修改的，但建立的是自己的生态系统。

米4上的Android版本有点像是Kitkat, Jellybean， 甚至更早期的Android版本的混合。

研究人员使用了他们的手机安全评估工具Trustable对米4进行了分析，发现该手机能被许多最近发现的安全漏洞攻击，如Masterkey, FakeID和Towelroot (Linux futex)。

问题3：米4中的安全漏洞

Bluebox的研究人员称，除了仅在4.1.1版本存在的心脏出血漏洞外，米4手机上还包含多项重大安全漏洞。

其他可疑情况

研究人员还发现，手机的外部存储空间中有一个隐藏的目录，目录中包含几个貌似是用来跑分的Android程序。有些应用被重新签过名，使用了与原来软件厂商不同的key，这也就意味着应用可能被篡改过。

另外，研究人员还注意到他们的Bluebox安全扫描器出现在了小米市场中，但他们从未在小米市场发布过该应用。

小米官方回应

小米发言人在一封致“The Hacker News”的电子邮件中称：

“我们现在正在调查事件。Bluebox的博文中有明显错误。官方的小米设备不会默认root，并且没有预装恶意软件。因此，我们肯定Bluebox所测试的设备并非标准的MIUI ROM。 很有可能Bluebox所获得的米4经过了篡改，因为手机是从非官方渠道购买的。我们的渠道只有Mi.com和某些合作伙伴诸如运营商。 另外，与Bluebox博客中所述不同的是，MIUI是真的Android系统，遵循Android CDD(Android兼容性定义文档)，并且MIUI通过了所有的CTS测试，保证所有设备都符合CDD，无论是中国版还是国际版。”