Кратко
Смартфоны OnePlus по-прежнему востребованы, хотя их популярность уже не так высока, как раньше. Но если вы пользуетесь этим брендом, самая пора обратить внимание: специалисты нашли критическую брешь в безопасности. Даже если производитель уже пообещал срочное обновление, разумно соблюдать осторожность до выхода заплатки.
Уязвимость оказалась настолько серьезной, что под угрозой оказались миллионы пользователей OnePlus: любое приложение на устройстве способно получить доступ к вашим SMS и MMS — без всяких ограничений. Баг касается нескольких версий оболочки OxygenOS и полностью обходит систему разрешений Android, позволяя посторонним читать все ваши сообщения. Для приватности это настоящий кошмар.
Критическую ошибку первой обнаружила и подробно описала компания Rapid7, специализирующаяся на кибербезопасности. В своем отчёте они уточнили: эксплойт CVE-2025-10184 угрожает множеству моделей OnePlus — начиная с тех, что работают на OxygenOS 12 (как минимум сюда попадают OnePlus 8T и новее). Масштаб проблемы действительно большой: версия вышла давно, а значит, баг мог оставаться незамеченным многие месяцы. Проблема возникла из-за изменений, которые инженеры OnePlus внесли в стандартный компонент Android под названием Telephony — он управляет звонками и сообщениями. Из-за своих «усовершенствований» OnePlus случайно открыла доступ к SMS и MMS для всех приложений: они могут читать тексты сообщений и метаданные без каких-либо разрешений.
Особенно тревожно то, что для атаки не требуется ни действий, ни согласия пользователя. Приложения не только не просят разрешения на работу с SMS, но даже не оповещают владельца телефона о доступе. Это значит, что вредоносные либо просто некачественные приложения могли месяцами (а то и годами!) читать вашу личную переписку — включая одноразовые пароли для двухфакторной аутентификации, и всё это совершенно незаметно.
Как выяснилось, источник проблемы — в появлении новых провайдеров контента в Telephony с выходом OxygenOS 12. Разработчики OnePlus правильно настроили права на чтение SMS, но совершенно забыли про права на запись. В результате, как объясняет блог Rapid7, некоторые приложения могли получить не только чтение, но и запись, если этот функционал был прописан у провайдера — что и открыло дыру для доступа к сообщениям. В старых версиях (например, на OxygenOS 11) подобной проблемы нет.
В Rapid7 рассказали, что пытались предупредить OnePlus ещё за несколько месяцев до публикации отчёта, но так и не получили ответа. Только после того, как информация стала публичной, производитель признал ошибку и пообещал её исправить в ближайшем обновлении. Латать брешь уже начали, но такие проколы крайне редки даже у крупных брендов. Остается надеяться, что никто не успел воспользоваться этой уязвимостью и ваши данные в безопасности.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru