НаверхДыра в безопасности OnePlus: ваш телефон может читать СМС и воровать 2FA-коды
Исправление выйдет только в октябре, а миллионы устройств уже под угрозой.
29.09.2025
16:25
Если вы пользуетесь смартфоном OnePlus под управлением OxygenOS 12, 14 или 15, у нас есть новости, которые должны вас обеспокоить. Ранее на этой неделе фирма по кибербезопасности Rapid7 сообщила, что смартфоны OnePlus, работающие под управлением этих версий OxygenOS, имеют серьезную уязвимость в системе безопасности, которая может позволить вредоносным приложениям получить доступ к данным SMS и MMS на вашем смартфоне без разрешения, взаимодействия с пользователем или его согласия.
Фирма также заявила, что «пользователь также не уведомляется о доступе к данным SMS», что «может привести к раскрытию конфиденциальной информации и фактически нарушить безопасность, обеспечиваемую проверками многофакторной аутентификации (MFA) на основе SMS».
Rapid7 протестировала и подтвердила уязвимость на различных смартфонах OnePlus и сборках OxygenOS, как указано в таблице ниже.
Видео от DGL.RU
| Устройство / Модель | Версия пакета | Версия OxygenOS | Номер сборки |
| OnePlus 8T / KB2003 | 3.4.135 | 12 | KB2003_11_C.33 |
| OnePlus 10 Pro 5G / NE2213 | 14.10.30 | 14 | NE2213_14.0.0.700(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.30.5 | 15 | NE2213_15.0.0.502(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.30.10 | 15 | NE2213_15.0.0.700(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.40.0 | 15 | NE2213_15.0.0.901(EX01) |
Фирма по кибербезопасности заявила, что эта уязвимость, отслеживаемая как CVE-2025-10184, была введена в рамках OxygenOS 12, поскольку протестированные ею версии OxygenOS 11 не были уязвимы для этой проблемы.
Более того, хотя Rapid7 заявила, что эта уязвимость в системе безопасности «не кажется проблемой, специфичной для оборудования», ее потенциальное влияние считается высоким, поскольку она затрагивает основной компонент Android, и устройства OnePlus, отличные от 8T или 10 Pro 5G, работающие под управлением OxygenOS 12, 14 или 15, также могут быть уязвимы.
Rapid7 впервые связалась с OnePlus 1 мая 2025 года для обсуждения этой проблемы, и с тех пор она обращалась к OnePlus и Oppo полдюжины раз, прежде чем публично раскрыть свои выводы 23 сентября 2025 года. Днем позже OnePlus ответила Rapid7, признав раскрытие информации фирмой и сообщив им, что китайский бренд расследует проблему.
OnePlus не сообщила Rapid7, какие шаги она предпримет; однако в заявлении, позже предоставленном 9to5Google, представитель OnePlus сказал: «Мы признаем недавнее раскрытие информации о CVE-2025-10184 и внедрили исправление. Оно будет распространено по всему миру через обновление программного обеспечения, начиная с середины октября. OnePlus по-прежнему привержена защите данных клиентов и будет продолжать уделять приоритетное внимание улучшениям в области безопасности».
Итак, что могут сделать пользователи затронутых устройств OnePlus до тех пор, пока исправление не появится в середине октября?
Специалисты из Rapid7 посоветовали пользователям затронутых устройств OnePlus предпринять следующие шаги:
- Устанавливайте приложения только из надежных источников и удалите все второстепенные приложения. Это ограничит подверженность ненадежным приложениям, которые могут использовать этот обход разрешений для чтения данных SMS/MMS.
- Проверьте, какие сторонние сервисы используют многофакторную аутентификацию (MFA) на основе SMS, и измените эти сервисы на использование приложения-аутентификатора. Это ограничит отправку конфиденциальной информации на ваше устройство по SMS.
- Для дополнительной конфиденциальности текстовых сообщений пользователи могут использовать мессенджеры со сквозным шифрованием вместо SMS-сообщений. Это ограничит отправку конфиденциальной информации на ваше устройство по SMS.
- Для сторонних сервисов, которые отправляют уведомления на основе SMS, возможно, можно перейти на push-уведомления в приложении. Это ограничит отправку конфиденциальной информации на ваше устройство по SMS.
Подпишитесь на наши новости: