Сегодня 02 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В смартфонах OnePlus обнаружена дыра в безопасности — любое приложение может читать все SMS без разрешения

На смартфонах OnePlus обнаружена серьёзная уязвимость, открывающая потенциальным злоумышленникам доступ к данным SMS и MMS. Производитель признал факт наличия ошибки и пообещал исправить её в середине октября с обновлением ПО.

 Источник изображения: oneplus.com

Источник изображения: oneplus.com

Проблему обнаружили эксперты специализирующейся на кибербезопасности компании Rapid7. Они опубликовали результаты исследования эксплойта, позволяющего обходить разрешения, — эксплойт работает на «нескольких версиях» OxygenOS, начиная с OxygenOS 12 на смартфоне OnePlus 8T. Проблема оказалось в том, что производитель внёс в стандартный пакет Telephony изменения, открывающее любому установленному на уязвимое устройство приложению доступ к базе SMS, MMS и их метаданных «без разрешения, взаимодействия с пользователем или его согласия». TelephonyProvider — это входящий в код AOSP (Android Open Source Project) системный компонент, выступающий менеджером доступа к сообщениям. В исходном варианте он предусматривает строгие ограничения доступа к данным, но разработчики OxygenOS добавили в этот пакет дополнительные классы ContentProvider, у которых отсутствуют меры безопасности на уровне исходного TelephonyProvider.

Компания Rapid7 пыталась связаться с OnePlus и Oppo по данному вопросу с начала мая по вторую половину сентября, но за это время не получила внятного ответа и была вынуждена самостоятельно раскрыть широкой общественности информацию об уязвимости, которой присвоили номер CVE-2025-10184. Материал был опубликован 23 сентября, и только 24 сентября OnePlus сделала заявление. Китайский производитель дал ресурсу 9to5Google следующий комментарий: «Подтверждаем, что ранее была обнаружена уязвимость CVE-2025-10184, и мы уже внедрили исправление. Оно будет развёртываться по всему миру с обновлением ПО, начиная с середины октября. OnePlus по-прежнему привержена защите данных клиентов и продолжит уделять первоочередное внимание улучшению безопасности».

Учитывая, что ошибка отсутствует в OxygenOS 11, компания внесла изменения в пакет Telephony во времена Android 12, добавив, в том числе три класса ContentProvider:

  • com.android.providers.telephony.PushMessageProvider;
  • com.android.providers.telephony.PushShopProvider;
  • com.android.providers.telephony.ServiceNumberProvider.

Само по себе изменение этого пакета не несёт угрозы, но разработчики OnePlus пренебрегли соображениями безопасности и открыли для этих классов доступ к чтению (но не записи) SMS без соответствующих ограничений. Владельцам смартфонов OnePlus рекомендовано проявлять осмотрительность до выхода обновления ПО, в том числе удалить все ненужные приложения и не устанавливать новые из непроверенных источников. А механизмы многофакторной авторизации с использованием SMS, пожалуй, лучше заменить соответствующими приложениями.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 53 мин.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 2 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 2 ч.
«Не можешь — научим, не хочешь — заставим»: Microsoft мобилизует 6000 сотрудников для помощи клиентам во внедрении ИИ 3 ч.
Браузер Opera получил продвинутую защиту от ввода вредоносных команд через буфер обмена 3 ч.
ИИ оказался слишком дорогим: компании урезают сотрудникам доступ к ChatGPT и Claude 3 ч.
Студия создателя Deus Ex и System Shock перестанет делать игры — после провала Thick as Thieves в OtherSide осталось меньше десяти человек 4 ч.
Google не смогла отбиться от рекордного штрафа в €4,1 млрд в Европе 4 ч.
Кризис Xbox поставил под угрозу закрытия Obsidian — студию в ответе за Fallout: New Vegas, Pillars of Eternity и South Park: The Stick of Truth 4 ч.
Toyota собирается при помощи ИИ навести порядок в своей документации и терминологии 5 ч.