НаверхВаш OnePlus тайно пишет СМС? Новая уязвимость позволяет воровать 2FA-коды и отправлять сообщения от вашего имени
Ошибка в OxygenOS затрагивает миллионы устройств, а OnePlus до сих пор не выпустила исправление.
27.09.2025
03:48
Коротко о главном
- CVE-2025-10184 позволяет злоумышленникам читать и отправлять SMS, включая коды двухфакторной аутентификации.
- Уязвимость затрагивает версии OxygenOS с 12 по 15, используемые на многих устройствах OnePlus.
- Rapid7 раскрыла информацию об уязвимости после неудачных попыток связаться с компанией; OnePlus еще не выпустила исправление.
Уязвимость в программном обеспечении, используемом в смартфонах OnePlus, может позволить злоумышленникам отправлять SMS-сообщения от имени жертвы, предупреждают эксперты.
Что еще хуже, она позволяет им читать содержимое SMS, включая коды многофакторной аутентификации, в случаях, когда SMS используется в качестве второго фактора аутентификации, сообщили исследователи безопасности из Rapid7.
Команда недавно обнаружила уязвимость в нескольких версиях OxygenOS — операционной системы, созданной для телефонов OnePlus на базе Android от Google. Уязвимость затрагивает поставщика контента телефонии в OxygenOS между версиями 12 и 15, что означает, что проблема могла существовать на устройствах как минимум четыре года.
Видео от DGL.RU
Поздняя реакция
Исследователи подтвердили, что уязвимость работает на устройстве OnePlus 8T под управлением OxygenOS 12, а также на нескольких устройствах OnePlus 10 Pro 5G под управлением OxygenOS 14 и 15.
Однако, учитывая, как OnePlus создает и поставляет свои телефоны, исследователи подчеркнули, что список уязвимых устройств намного, намного длиннее.
Rapid7 заявила, что с момента обнаружения проблемы в мае 2025 года они пытались связаться с OnePlus, но, предположительно, безуспешно.
После нескольких неудачных попыток исследователи опубликовали свои выводы вместе с доказательством концепции (Proof-of-Concept, PoC) в сентябре, после чего OnePlus публично признала наличие ошибки и, как сообщается, начала расследование.
Однако на момент публикации этой статьи OnePlus все еще не выпустила исправление, что означает, что ошибка по-прежнему может быть использована на многих ее устройствах.
Чтобы оставаться в безопасности, пользователям следует свести к минимуму количество установленных приложений, устанавливать только те, что от проверенных издателей, и отказаться от двухфакторной аутентификации на основе SMS.
Кроме того, общение следует перенести из SMS-сообщений в другие приложения, такие как WhatsApp, Telegram и подобные. Уязвимость теперь отслеживается как CVE-2025-10184 с оценкой серьезности 8.2/10 (высокая).
OnePlus является дочерней компанией китайского производителя смартфонов Oppo и известна созданием премиальных смартфонов по конкурентоспособной цене.
Подпишитесь на наши новости: