Исследователи из Rapid7 рассказали о критической дыре в безопасности смартфонов OnePlus. Уязвимость получила номер CVE-2025-10184 и связана с оболочкой OxygenOS. Суть проблемы в том, что любое установленное приложение может без спроса читать ваши СМС и ММС — включая коды двухфакторной аутентификации, банковские уведомления и личную переписку.
И при этом пользователь никак не узнает, что его сообщения уже «утекли». Виноваты в этом встроенные провайдеры контента OxygenOS — ServiceNumberProvider, PushMessageProvider и PushShopProvider.
Они неправильно настроены и дают доступ к данным без проверки разрешений. Более того, исследователи нашли и возможность «слепой» SQL-инъекции, то есть злоумышленники могут выкачивать СМС буквально посимвольно.
Подтверждено, что баг работает на:
- OnePlus 8T (OxygenOS 12, сборка KB2003_11_C.33).
- OnePlus 10 Pro 5G (OxygenOS 14–15, сборки NE2213_14.0.0.700, 15.0.0.502, 15.0.0.700, 15.0.0.901).
Любопытно, что более старые версии OxygenOS 11 уязвимости не подвержены. Видимо, ошибка появилась, начиная с OxygenOS 12 в 2021 году.
Особенно опасно то, что уязвимость напрямую подрывает работу СМС-МФА. Приложение может тихо украсть одноразовый код, и пользователь ничего не заметит.
Rapid7 пытались связаться с OnePlus, но безуспешно. Формально у компании есть баг-баунти, но его условия оказались слишком жёсткими для исследователей. В итоге баг до сих пор не закрыт.
Что делать пользователям:
- Стараться ставить только проверенные приложения.
- Перейти с СМС-подтверждений на аутентификаторы (Google Authenticator, Authy и т. п.).
- Для переписки использовать мессенджеры со сквозным шифрованием.
- Где возможно, заменить СМС-уведомления на пуш-оповещения.
Пока OnePlus молчит, пользователям остаётся только осторожность.
