Критическая уязвимость в OnePlus: доступ к SMS без разрешения пользователя

Стало известно о серьезной уязвимости безопасности, затрагивающей значительное количество смартфонов OnePlus, функционирующих на операционных системах OxygenOS версий 12, 14 и 15. Специалисты по кибербезопасности из компании Rapid7 обнародовали информацию о критическом недостатке, который позволяет вредоносным приложениям несанкционированно получать доступ к данным SMS и MMS на устройствах.

Особенностью данной бреши в безопасности является то, что доступ к конфиденциальной информации может быть получен без какого-либо разрешения пользователя, его взаимодействия или согласия. Фирма Rapid7 подчеркнула, что пользователь не получает уведомления о том, что происходит считывание SMS-данных. Подобный сценарий, как отмечается, потенциально ведет к раскрытию чувствительной информации и фактически нивелирует уровень безопасности, обеспечиваемый механизмами многофакторной аутентификации (MFA), основанными на SMS-сообщениях.

Подробности уязвимости и затронутые модели

Rapid7 подтвердила наличие и работоспособность уязвимости, отслеживаемой под идентификатором CVE-2025-10184, на ряде моделей OnePlus и сборок OxygenOS. Согласно данным тестирования, проблема была внедрена в систему, начиная с версии OxygenOS 12, поскольку проверенные версии OxygenOS 11 не были подвержены данной проблеме. Уязвимость не является аппаратной, но ее потенциальное воздействие оценивается как высокое, поскольку она затрагивает ключевой компонент Android. Следовательно, другие устройства OnePlus, помимо 8T и 10 Pro 5G, работающие на указанных версиях OxygenOS, также могут быть уязвимы.

Подтвержденные случаи эксплуатации уязвимости включают следующие сборки:

Rapid7 впервые обратилась к OnePlus для обсуждения проблемы 1 мая 2025 года. Последующие полгода Rapid7 неоднократно контактировала с OnePlus и Oppo, прежде чем публично раскрыть свои выводы 23 сентября 2025 года. На следующий день OnePlus ответила Rapid7, подтвердив получение информации и сообщив о начале расследования проблемы.

Хотя в прямом обращении к Rapid7 компания не уточнила свои дальнейшие шаги, представитель OnePlus позднее предоставил заявление для 9to5Google: «Мы подтверждаем недавнее раскрытие информации о CVE-2025-10184 и уже реализовали исправление. Оно будет распространено по всему миру посредством обновления программного обеспечения, начиная с середины октября. OnePlus сохраняет свою приверженность защите данных клиентов и будет продолжать уделять первоочередное внимание улучшениям безопасности».

Таким образом, глобальное исправление уязвимости ожидается не ранее середины октября.

Рекомендации для пользователей

До выхода обновления пользователям рекомендуется:

• Устанавливать приложения только из проверенных источников

• Удалить все неиспользуемые приложения

• Переключить сервисы с SMS-аутентификацией на приложения-аутентификаторы

• Использовать мессенджеры с end-to-end шифрованием вместо обычных SMS

• Настроить push-уведомления вместо SMS для получения информации от сторонних сервисов

Данная уязвимость представляет серьезную угрозу безопасности, так как затрагивает базовый компонент Android-системы. Пользователям затронутых устройств следует принять временные меры предосторожности до выхода официального обновления.