Открита е сериозна уязвимост в смартфоните OnePlus, която позволява на нападателите да имат достъп до SMS и MMS данни. Производителят е признал наличието на уязвимост и е обещал да я поправи с актуализация на софтуера в средата на октомври.
Проблемът е открит от експерти от фирмата за киберсигурност Rapid7. Те публикуваха резултатите от своето проучване на експлойт, който заобикаля разрешенията. Експлойтът работи на „няколко версии” на OxygenOS, започвайки с OxygenOS 12 на OnePlus 8T.
Проблемът се е проявил след като производителят променя стандартния пакет Telephony, позволявайки на всяко приложение, инсталирано на уязвимото устройство, да има достъп до базата данни за SMS и MMS и техните метаданни „без разрешение, взаимодействие с потребителя или съгласие”.
TelephonyProvider е системен компонент на AOSP (Android Open Source Project), който управлява достъпа до съобщения. Докато оригиналната версия строго ограничава достъпа до данни, разработчиците на OxygenOS са добавили допълнителни класове ContentProvider към този пакет, на които липсват мерките за сигурност на оригиналния TelephonyProvider.
Специалистите от Rapid7 се опитвали да се свържат с OnePlus и Oppo относно този проблем от началото на май до втората половина на септември, но не получили ясен отговор и били принудени да разкрият публично уязвимостта, на която е присвоен номер CVE-2025-10184.
Материалът беше публикуван на 23 септември и на следващия ден OnePlus направи изявление пред 9to5Google:
„Потвърждаваме, че CVE-2025-10184 е била открита преди това и вече сме внедрили корекция. Тя ще бъде внедрена глобално чрез софтуерна актуализация, започваща в средата на октомври. OnePlus остава ангажирана със защитата на данните на клиентите и ще продължи да дава приоритет на подобряването на сигурността”.
Грешката не е била налична в OxygenOS 11, но компанията е направила промени в пакета Telephony в Android 12, добавяйки три класа ContentProvider:
- com.android.providers.telephony.PushMessageProvider;
- com.android.providers.telephony.PushShopProvider;
- com.android.providers.telephony.ServiceNumberProvider.
Самата промяна в този пакет не представлява заплаха, но разработчиците на OnePlus са пренебрегнали съображенията за сигурност и са позволили на тези класове да четат (но не и да пишат) SMS съобщения без подходящи ограничения.
Съветът към собствениците на смартфони OnePlus е да бъдат внимателни, докато не бъде пусната актуализацията на софтуера, включително да деинсталират всички ненужни приложения и да избягват инсталирането на нови от ненадеждни източници.
Механизмите за многофакторно удостоверяване, базирани на SMS, вероятно трябва да бъдат заменени с подходящи приложения.
