MWC 2018
2018
Computex
IFA 2018
На смартфонах OnePlus обнаружена серьёзная уязвимость, открывающая потенциальным злоумышленникам доступ к данным SMS и MMS. Производитель признал факт наличия ошибки и пообещал исправить её в середине октября с обновлением ПО.
Источник изображения: oneplus.com
Проблему обнаружили эксперты специализирующейся на кибербезопасности компании Rapid7. Они опубликовали результаты исследования эксплойта, позволяющего обходить разрешения, — эксплойт работает на «нескольких версиях» OxygenOS, начиная с OxygenOS 12 на смартфоне OnePlus 8T. Проблема оказалось в том, что производитель внёс в стандартный пакет Telephony изменения, открывающее любому установленному на уязвимое устройство приложению доступ к базе SMS, MMS и их метаданных «без разрешения, взаимодействия с пользователем или его согласия». TelephonyProvider — это входящий в код AOSP (Android Open Source Project) системный компонент, выступающий менеджером доступа к сообщениям. В исходном варианте он предусматривает строгие ограничения доступа к данным, но разработчики OxygenOS добавили в этот пакет дополнительные классы ContentProvider, у которых отсутствуют меры безопасности на уровне исходного TelephonyProvider.
Компания Rapid7 пыталась связаться с OnePlus и Oppo по данному вопросу с начала мая по вторую половину сентября, но за это время не получила внятного ответа и была вынуждена самостоятельно раскрыть широкой общественности информацию об уязвимости, которой присвоили номер CVE-2025-10184. Материал был опубликован 23 сентября, и только 24 сентября OnePlus сделала заявление. Китайский производитель дал ресурсу 9to5Google следующий комментарий: «Подтверждаем, что ранее была обнаружена уязвимость CVE-2025-10184, и мы уже внедрили исправление. Оно будет развёртываться по всему миру с обновлением ПО, начиная с середины октября. OnePlus по-прежнему привержена защите данных клиентов и продолжит уделять первоочередное внимание улучшению безопасности».
Учитывая, что ошибка отсутствует в OxygenOS 11, компания внесла изменения в пакет Telephony во времена Android 12, добавив, в том числе три класса ContentProvider:
- com.android.providers.telephony.PushMessageProvider;
- com.android.providers.telephony.PushShopProvider;
- com.android.providers.telephony.ServiceNumberProvider.
Само по себе изменение этого пакета не несёт угрозы, но разработчики OnePlus пренебрегли соображениями безопасности и открыли для этих классов доступ к чтению (но не записи) SMS без соответствующих ограничений. Владельцам смартфонов OnePlus рекомендовано проявлять осмотрительность до выхода обновления ПО, в том числе удалить все ненужные приложения и не устанавливать новые из непроверенных источников. А механизмы многофакторной авторизации с использованием SMS, пожалуй, лучше заменить соответствующими приложениями.
Источник:
