A Rapid7 kiberbiztonsági cég jelentése szerint több OnePlus okostelefon is komoly biztonsági réssel küzd, amely az OxygenOS 12, 14 és 15 rendszert futtató modelleket érinti. A hiba lehetővé teszi, hogy rosszindulatú alkalmazások felhasználói engedély, interakció és értesítés nélkül hozzáférjenek az SMS-ekhez és MMS-ekhez.
Ez nemcsak érzékeny adatok kiszivárgásához vezethet, hanem akár teljesen meg is törheti az SMS-alapú kétlépcsős azonosítás (MFA) védelmét. A Rapid7 tesztelte és megerősítette a problémát több eszközön – köztük a OnePlus 8T és a OnePlus 10 Pro 5G különböző OxygenOS buildjein. A sebezhetőséget CVE-2025-10184 azonosítóval látták el, és a szakértők szerint nem hardverfüggő, hanem egy Android-komponens hibájából ered, így más modellek is érintettek lehetnek.
A Rapid7 először május 1-jén vette fel a kapcsolatot a OnePlus-szal, majd többször próbált egyeztetni a gyártóval és az anyavállalat Oppo-val is. A cég végül szeptember 23-án hozta nyilvánosságra a részleteket, másnap pedig a OnePlus hivatalosan is elismerte a hibát. A vállalat közleménye szerint a javítást már elkészítették, de azt csak október közepétől kezdik globálisan kiadni szoftverfrissítés formájában.
A Rapid7 az alábbi óvintézkedéseket javasolja:
-
Csak megbízható forrásból származó alkalmazásokat telepítsünk, és töröljük a nem létfontosságú appokat.
-
Kerüljük az SMS-alapú kétlépcsős azonosítást, ahol lehet, váltsunk autentikátor alkalmazásra.
-
Privát üzenetekhez használjunk végpontok között titkosított csevegőappokat, ne hagyományos SMS-t.
-
Értesítésekhez részesítsük előnyben a push értesítéseket, ne SMS-t.
A OnePlus közleménye szerint a vállalat elkötelezett a felhasználói adatok védelme mellett, és a jövőben is a biztonsági fejlesztésekre helyezi a hangsúlyt – mindaddig viszont a felhasználóknak maguknak kell óvatosabbnak lenniük.
