| 25 сентября 2025 г. — 11:55 PT
OnePlus 15 не за горами, но у компании сейчас есть более важные дела. Была обнаружена массовая уязвимость SMS на смартфонах OnePlus, и, хотя она еще не исправлена, хорошая новость заключается в том, что исправление уже в пути.
Ранее на этой неделе фирма по кибербезопасности Rapid7 опубликовала свои выводы относительно эксплойта обхода разрешений, обнаруженного в «нескольких версиях» OxygenOS, начиная с OxygenOS 12 на OnePlus 8T (источник: Bleeding Computer). По сути, из-за модификаций, внесенных в стандартный пакет Telephony, приложение осталось уязвимым для злоупотреблений, позволяя любому установленному приложению на затронутом устройстве OnePlus получать доступ к данным SMS и MMS, а также к метаданным, «без разрешения, действий пользователя или согласия». Также нет способа узнать, был ли ваш данные доступен таким образом.
Rapid7 пыталась связаться с OnePlus за несколько месяцев до публикации своего открытия этой уязвимости — которую они назвали CVE-2025-10184 — но безуспешно. Несмотря на публикацию в понедельник, компания не признала проблему до среды на этой неделе, когда OnePlus подтвердила, что осведомлена об эксплойте.
Представитель OnePlus предоставил 9to5Google следующее заявление:
Мы подтверждаем недавнее раскрытие информации о CVE-2025-10184 и внесли исправление. Оно будет развернуто по всему миру посредством обновления программного обеспечения, начиная с середины октября. OnePlus по-прежнему стремится защищать данные клиентов и будет продолжать уделять приоритетное внимание улучшениям безопасности.
Что касается того, как это произошло, по сути, OnePlus, по-видимому, модифицировала стандартное приложение Telephony еще во времена Android 12 — этой ошибки нет в OxygenOS 11 — чтобы добавить дополнительные поставщики контента в службу, включая следующие три элемента:
- com.android.providers.telephony.PushMessageProvider
- com.android.providers.telephony.PushShopProvider
- com.android.providers.telephony.ServiceNumberProvider
Модификация этого пакета, очевидно, не является чем-то плохим, но когда вы имеете дело с чем-то, что может предоставить доступ на чтение и запись к сообщениям, хранящимся на устройстве, вам нужно предпринять дополнительные шаги, чтобы убедиться, что вы не оставляете уязвимостей — и именно это здесь и произошло. В то время как OnePlus предоставила разрешения на чтение SMS-сообщений этим поставщикам, она не добавила разрешения на *запись*, что, как stated в посте блога Rapid7, «может позволить клиентским приложениям выполнять операции записи, если соответствующая операция записи […] реализована в поставщике».
Пока что пользователям OnePlus следует быть осторожными до выхода патча в середине октября. Rapid7 рекомендует устанавливать приложения только из известных источников и удалять все несущественные приложения. Если вы получаете SMS с одноразовыми паролями для двухфакторной аутентификации, вам также следует как можно скорее перейти на приложение-аутентификатор, чтобы предотвратить отправку вашего кода через SMS. Переход на стороннее приложение для чата также может помочь в этом.