Există informații despre un bug major care afectează telefoanele OnePlus: o vulnerabilitate SMS identificată în mai multe versiuni de OxygenOS permite accesul neautorizat la mesaje. Descoperirea aparține firmei de securitate Rapid7 şi vizează telefoane începând cu OnePlus 8T pe OxygenOS 12; compania a anunțat că pregătește o corecție ce va fi livrată printr-un update global începând din mijlocul lunii octombrie.
Cauza problemei este o modificare făcută de OnePlus în pachetul Telephony folosit pe Android. Pe Android 12, OnePlus a introdus trei furnizori de conținut în acest pachet, PushMessageProvider, PushShopProvider și ServiceNumberProvider, şi le-a acordat permisiuni de citire pentru SMS/MMS, dar nu şi permisiuni de scriere bine configurate. Ca urmare, orice aplicație instalată pe un dispozitiv afectat ar putea, teoretic, să acceseze conținutul SMS/MMS şi metadatele aferente fără consimțământul utilizatorului, fără interacțiune și fără urme evidente ale accesării. Rapid7 a înregistrat vulnerabilitatea ca CVE-2025-10184.
Cercetătorii Rapid7 au încercat să ia legătura cu OnePlus cu câteva luni înainte de publicare, însă fără succes; compania a reacționat oficial abia după ce informația a devenit publică. OnePlus a comunicat că a implementat deja o remediere și că o va distribui global printr-un update software începând din mijlocul lui octombrie, subliniind angajamentul față de securitatea datelor utilizatorilor.
Ce implică asta pentru utilizatori? Până la actualizarea promisă, e recomandat să fiți precauți: instalați doar aplicații din surse de încredere şi eliminați aplicațiile neesențiale. Dacă folosiți SMS pentru coduri OTP la autentificarea în doi pași, ar fi mai sigur să treceți la o aplicație de autentificare, pentru a evita trimiterea codurilor prin SMS. Folosirea unor aplicații de mesagerie terțe pentru conversații sensibile poate reduce, de asemenea, riscul.
Din perspectivă tehnică, problema atrage atenția asupra riscurilor de a personaliza componente critice ale Android fără verificări stricte ale permisiunilor. Modificarea pachetului Telephony nu este, în sine, greșită, producătorii adesea ajustează funcționalități pentru caracteristici suplimentare, dar, când e vorba de accesul la mesaje, orice eroare de proiectare sau de gestionare a permisiunilor poate crea vulnerabilități. Raportul Rapid7 ilustrează cum o singură omisiune în configurarea permisiunilor poate transforma un serviciu legitim într-o cale de acces pentru aplicații cu intenții necunoscute.
CVE-2025-10184, identificat de Rapid7, vizează OnePlus 8T şi dispozitive care rulează OxygenOS 12; OnePlus afirmă că patch-ul va fi distribuit global din mijlocul lunii octombrie. Măsura recomandată imediat este să limitați aplicațiile instalate şi să folosiți aplicații de autentificare pentru 2FA în loc de SMS. Astfel de situații reamintesc că gestionarea permisiunilor în Android rămâne un punct sensibil al ecosistemului, în special când producătorii modifică componente de bază precum Telephony. Verificați dacă update-ul ajunge pe telefonul vostru în octombrie şi, până atunci, tratați cu prudență mesajele care conțin coduri sensibile.
OnePlus 8T şi versiunile OxygenOS 12 sunt menționate în raport, iar patch-ul global este programat pentru mijlocul lunii octombrie. Ce măsuri veți lua pe dispozitivul vostru până atunci?
Fii primul care comentează