У смартфонах OnePlus виявлено дірку в безпеці — будь-який додаток може читати всі SMS без дозволу

На смартфонах OnePlus виявлено серйозну уразливість, яка відкриває потенційним зловмисникам доступ до даних SMS і MMS. Виробник визнав наявність помилки і пообіцяв виправити її в середині жовтня з оновленням програмного забезпечення.

Джерело зображення: oneplus.com

Проблему виявили експерти компанії Rapid7, яка спеціалізується на кібербезпеці. Вони опублікували результати дослідження експлойта, що дозволяє обходити дозволи — експлойт працює на «декількох версіях» OxygenOS, починаючи з OxygenOS 12 на смартфоні OnePlus 8T. Проблема полягала в тому, що виробник вніс у стандартний пакет Telephony зміни, які відкривають будь-якому встановленому на вразливий пристрій додатку доступ до бази SMS, MMS і їх метаданих «без дозволу, взаємодії з користувачем або його згоди». TelephonyProvider — це системний компонент, що входить до коду AOSP (Android Open Source Project), який виконує функцію менеджера доступу до повідомлень. В оригінальному варіанті він передбачає суворі обмеження доступу до даних, але розробники OxygenOS додали до цього пакету додаткові класи ContentProvider, у яких відсутні заходи безпеки на рівні вихідного TelephonyProvider.

Компанія Rapid7 намагалася зв’язатися з OnePlus і Oppo з цього питання з початку травня до другої половини вересня, але за цей час не отримала зрозумілої відповіді і була змушена самостійно розкрити широкій громадськості інформацію про уразливість, якій присвоїли номер CVE-2025-10184. Матеріал був опублікований 23 вересня, і лише 24 вересня OnePlus зробила заяву. Китайський виробник надав ресурсу 9to5Google наступний коментар: «Підтверджуємо, що раніше була виявлена уразливість CVE-2025-10184, і ми вже впровадили виправлення. Воно буде розгортатися по всьому світу з оновленням програмного забезпечення, починаючи з середини жовтня. OnePlus залишається прихильною до захисту даних клієнтів і продовжить приділяти першочергову увагу покращенню безпеки».

Враховуючи, що помилка відсутня в OxygenOS 11, компанія внесла зміни в пакет Telephony в часи Android 12, додавши, зокрема, три класи ContentProvider:

• com.android.providers.telephony.PushMessageProvider;
• com.android.providers.telephony.PushShopProvider;
• com.android.providers.telephony.ServiceNumberProvider.

Саме по собі зміна цього пакета не несе загрози, але розробники OnePlus нехтували міркуваннями безпеки і відкрили для цих класів доступ до читання (але не запису) SMS без відповідних обмежень. Власникам смартфонів OnePlus рекомендовано проявляти обережність до виходу оновлення програмного забезпечення, зокрема видалити всі непотрібні додатки і не встановлювати нові з неперевірених джерел. А механізми багатофакторної авторизації з використанням SMS, мабуть, краще замінити відповідними додатками.

Хочеш дізнатися більше — читай відгуки