На смартфонах OnePlus виявлено серйозну вразливість, що відкриває потенційним зловмисникам доступ до даних SMS та MMS. Виробник визнав факт наявності помилки та пообіцяв виправити її в середині жовтня з оновленням ПЗ.
Проблему виявили експерти компанії Rapid7, що спеціалізується на кібербезпеці. Вони опублікували результати дослідження експлойту, що дозволяє обходити дозволи, – експлойт працює на «кілька версіях» OxygenOS, починаючи з OxygenOS 12 на смартфоні OnePlus 8T.
Проблема виявилася в тому, що виробник вніс у стандартний пакет Telephony зміни, що відкриває будь-якому встановленому на вразливий додаток доступ до бази SMS, MMS та їх метаданих «без дозволу, взаємодії з користувачем або його згоди».
TelephonyProvider — це системний компонент AOSP (Android Open Source Project), який є менеджером доступу до повідомлень. У вихідному варіанті він передбачає суворі обмеження доступу до даних, але розробники OxygenOS додали в цей пакет додаткові класи ContentProvider, які не мають заходів безпеки на рівні вихідного TelephonyProvider.
Компанія Rapid7 намагалася зв’язатися з OnePlus і Oppo з цього питання з початку травня до другої половини вересня, але за цей час не отримала чіткої відповіді і була змушена самостійно розкрити широкій громадськості інформацію про вразливість, яку привласнили номер CVE-2025-10184. Матеріал був опублікований 23 вересня, і лише 24 вересня OnePlus зробила заяву.
Китайський виробник дав ресурсу 9to5Google наступний коментар: «Підтверджуємо, що раніше було виявлено вразливість CVE-2025-10184, і ми вже запровадили виправлення. Воно буде розгортатися по всьому світу з оновленням програмного забезпечення, починаючи з середини жовтня. OnePlus, як і раніше, прихильна до захисту даних клієнтів і продовжить приділяти першочергову увагу поліпшенню безпеки».
Враховуючи, що помилка відсутня в OxygenOS 11, компанія внесла зміни до пакету Telephony за часів Android 12, додавши, у тому числі три класи ContentProvider:
- com.android.providers.telephony.PushMessageProvider;
- com.android.providers.telephony.PushShopProvider;
- com.android.providers.telephony.ServiceNumberProvider.
Сама по собі зміна цього пакету не загрожує, але розробники OnePlus знехтували міркуваннями безпеки і відкрили для цих класів доступ до читання (але не запису) SMS без відповідних обмежень. Власникам смартфонів OnePlus рекомендовано виявляти обачність до виходу оновлення ПЗ, у тому числі видалити всі непотрібні програми та не встановлювати нові з неперевірених джерел. А механізми багатофакторної авторизації з використанням SMS, мабуть, краще замінити на відповідні програми.