У вас OnePlus? Поздравляем, хакеры могут свободно читать ваши SMS

leer en español

OnePlus OxygenOS Rapid7 CVE-2025-10184 Android SMS уязвимость
У вас OnePlus? Поздравляем, хакеры могут свободно читать ваши SMS
OnePlus OxygenOS Rapid7 CVE-2025-10184 Android SMS уязвимость

0day-уязвимость до сих пор не исправлена. Почему производитель игнорирует ИБ-специалистов?

image

В операционной системе OxygenOS, установленной на смартфонах OnePlus, выявлена критическая уязвимость CVE-2025-10184, позволяющая любому приложению на устройстве без запроса прав доступа читать содержимое SMS и связанные метаданные. Проблему обнаружили специалисты Rapid7, которые сообщили, что ошибка затрагивает все версии системы от OxygenOS 12 до актуальной OxygenOS 15. При этом производитель до сих пор не выпустил исправление, а первые уведомления от исследователей остались без ответа.

Причина сбоя кроется в том, что OnePlus модифицировала стандартный пакет Android Telephony, добавив новые экспортируемые провайдеры PushMessageProvider, PushShopProvider и ServiceNumberProvider. В их манифестах не прописано требование прав для операции READ_SMS, из-за чего доступ к данным получают любые установленные программы.

Ситуацию усугубляет отсутствие фильтрации входных запросов: это открывает возможность для так называемой слепой SQL-инъекции, которая позволяет построчно восстанавливать текст сообщений из базы данных устройства. Rapid7 продемонстрировала proof-of-concept, подтверждающий возможность извлечения содержимого SMS при выполнении ряда условий, включая наличие строк в таблице и доступность операций вставки.

Исследователи проверили уязвимость на моделях OnePlus 8T и OnePlus 10 Pro, установив, что проблема не связана с конкретным оборудованием и затрагивает все смартфоны бренда, работающие на уязвимых версиях OxygenOS. С мая по август 2025 года Rapid7 пыталась связаться с компанией семь раз, но ответа не получила. После публикации отчёта OnePlus заявила, что начала внутреннюю проверку, однако сроков выхода исправления пока не назвала.

До появления обновления пользователям советуют минимизировать количество установленных приложений, доверять только известным разработчикам и отказаться от SMS-аутентификации в пользу генераторов одноразовых кодов. Для передачи конфиденциальной информации безопаснее использовать мессенджеры с полноценным сквозным шифрованием, поскольку SMS на устройствах OnePlus не изолированы должным образом.