Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС и MFA-коды

Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС и MFA-коды

Критическая уязвимость OnePlus OxygenOS раскрывает ваши СМС и MFA-коды

Исследователи из Rapid7 рассказали о критической дыре в безопасности смартфонов OnePlus. Уязвимость получила номер CVE-2025-10184 и связана с оболочкой OxygenOS. Суть проблемы в том, что любое установленное приложение может без спроса читать ваши СМС и ММС — включая коды двухфакторной аутентификации, банковские уведомления и личную переписку.

И при этом пользователь никак не узнает, что его сообщения уже «утекли». Виноваты в этом встроенные провайдеры контента OxygenOS — ServiceNumberProvider, PushMessageProvider и PushShopProvider.

Они неправильно настроены и дают доступ к данным без проверки разрешений. Более того, исследователи нашли и возможность «слепой» SQL-инъекции, то есть злоумышленники могут выкачивать СМС буквально посимвольно.

Подтверждено, что баг работает на:

  • OnePlus 8T (OxygenOS 12, сборка KB2003_11_C.33).
  • OnePlus 10 Pro 5G (OxygenOS 14–15, сборки NE2213_14.0.0.700, 15.0.0.502, 15.0.0.700, 15.0.0.901).

Любопытно, что более старые версии OxygenOS 11 уязвимости не подвержены. Видимо, ошибка появилась, начиная с OxygenOS 12 в 2021 году.

Особенно опасно то, что уязвимость напрямую подрывает работу СМС-МФА. Приложение может тихо украсть одноразовый код, и пользователь ничего не заметит.

Rapid7 пытались связаться с OnePlus, но безуспешно. Формально у компании есть баг-баунти, но его условия оказались слишком жёсткими для исследователей. В итоге баг до сих пор не закрыт.

Что делать пользователям:

  • Стараться ставить только проверенные приложения.
  • Перейти с СМС-подтверждений на аутентификаторы (Google Authenticator, Authy и т. п.).
  • Для переписки использовать мессенджеры со сквозным шифрованием.
  • Где возможно, заменить СМС-уведомления на пуш-оповещения.

Пока OnePlus молчит, пользователям остаётся только осторожность.

ИИ-контент в России предложили маркировать добровольно

В России готовят правила для маркировки контента, созданного с помощью искусственного интеллекта. Но без обязательной плашки позора: пользователь сам будет решать, указывать ли, что картинка, видео или аудио сделаны нейросетью.

Такие положения вошли в законопроект о поддержке развития ИИ-технологий, который правительство внесло в Госдуму. Об этом РИА Новости сообщили в аппарате вице-премьера Дмитрия Григоренко.

Согласно документу, сервисы на базе больших ИИ-моделей должны будут дать пользователям техническую возможность маркировать созданные с их помощью аудио-, фото- и видеоматериалы.

Аналогичная обязанность появится и у владельцев соцсетей: они должны предусмотреть инструмент для размещения предупреждения об искусственном происхождении контента.

Но важный момент: маркировка будет добровольной. Законопроект не заставляет пользователей обязательно ставить предупреждение на каждый сгенерированный ролик, картинку или аудиофайл. Решение останется за автором.

В аппарате Григоренко объясняют это попыткой сформировать культуру честного взаимодействия с ИИ-контентом. Особенно такая маркировка может быть полезна в рекламе, образовании и массовых коммуникациях — там, где синтетический контент легко может ввести аудиторию в заблуждение.

При этом перед внесением в Госдуму законопроект заметно доработали с учетом замечаний бизнеса. Из него убрали обязательный контроль маркировки ИИ-контента для соцсетей и маркетплейсов. Причина практичная: надежных, массово доступных и недорогих инструментов для автоматического выявления генеративного контента пока просто нет.

Судя по всему, пока ставка делается не на жесткий контроль, а на добровольную прозрачность.

RSS: Новости на портале Anti-Malware.ru