Сегодня 11 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В смартфонах OnePlus обнаружена дыра в безопасности — любое приложение может читать все SMS без разрешения

На смартфонах OnePlus обнаружена серьёзная уязвимость, открывающая потенциальным злоумышленникам доступ к данным SMS и MMS. Производитель признал факт наличия ошибки и пообещал исправить её в середине октября с обновлением ПО.

 Источник изображения: oneplus.com

Источник изображения: oneplus.com

Проблему обнаружили эксперты специализирующейся на кибербезопасности компании Rapid7. Они опубликовали результаты исследования эксплойта, позволяющего обходить разрешения, — эксплойт работает на «нескольких версиях» OxygenOS, начиная с OxygenOS 12 на смартфоне OnePlus 8T. Проблема оказалось в том, что производитель внёс в стандартный пакет Telephony изменения, открывающее любому установленному на уязвимое устройство приложению доступ к базе SMS, MMS и их метаданных «без разрешения, взаимодействия с пользователем или его согласия». TelephonyProvider — это входящий в код AOSP (Android Open Source Project) системный компонент, выступающий менеджером доступа к сообщениям. В исходном варианте он предусматривает строгие ограничения доступа к данным, но разработчики OxygenOS добавили в этот пакет дополнительные классы ContentProvider, у которых отсутствуют меры безопасности на уровне исходного TelephonyProvider.

Компания Rapid7 пыталась связаться с OnePlus и Oppo по данному вопросу с начала мая по вторую половину сентября, но за это время не получила внятного ответа и была вынуждена самостоятельно раскрыть широкой общественности информацию об уязвимости, которой присвоили номер CVE-2025-10184. Материал был опубликован 23 сентября, и только 24 сентября OnePlus сделала заявление. Китайский производитель дал ресурсу 9to5Google следующий комментарий: «Подтверждаем, что ранее была обнаружена уязвимость CVE-2025-10184, и мы уже внедрили исправление. Оно будет развёртываться по всему миру с обновлением ПО, начиная с середины октября. OnePlus по-прежнему привержена защите данных клиентов и продолжит уделять первоочередное внимание улучшению безопасности».

Учитывая, что ошибка отсутствует в OxygenOS 11, компания внесла изменения в пакет Telephony во времена Android 12, добавив, в том числе три класса ContentProvider:

  • com.android.providers.telephony.PushMessageProvider;
  • com.android.providers.telephony.PushShopProvider;
  • com.android.providers.telephony.ServiceNumberProvider.

Само по себе изменение этого пакета не несёт угрозы, но разработчики OnePlus пренебрегли соображениями безопасности и открыли для этих классов доступ к чтению (но не записи) SMS без соответствующих ограничений. Владельцам смартфонов OnePlus рекомендовано проявлять осмотрительность до выхода обновления ПО, в том числе удалить все ненужные приложения и не устанавливать новые из непроверенных источников. А механизмы многофакторной авторизации с использованием SMS, пожалуй, лучше заменить соответствующими приложениями.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
ИИ-модель GPT-5.6 стала «предпочтительной» в Copilot, несмотря на трения между OpenAI и Microsoft 7 ч.
Новая статья: Dark Scrolls — безостановочный экшен. Рецензия 7 ч.
Microsoft, Google, Amazon и Oracle попали под пристальный надзор британских регуляторов 7 ч.
[Обновлено] id Software продолжит делать игры, а сообщения о смерти idTech сильно преувеличены 9 ч.
Assassin’s Creed Black Flag Resynced не разочаровала Ubisoft продажами — два миллиона копий на следующий день после релиза 9 ч.
Инвесторы поверили в ИИ от Meta: акции компании показали лучший недельный результат с начала 2024 года 10 ч.
«Ты должен был бороться со злом…»: переговорщика по борьбе с вымогателями отправили в тюрьму за помощь хакерам 10 ч.
«Эта игра выглядит феноменально»: утечка 26 минут геймплея Persona 4 Revival впечатлила фанатов 11 ч.
Ubisoft объяснила, почему продаёт для Assassin’s Creed Black Flag Resynced дополнения на сумму выше самой игры 13 ч.
Европарламент так и не смог отменить закон о сканировании переписок, хотя большинство проголосовало против 14 ч.
Глава SK hynix заявил, что дефицит памяти достигнет пика в 2027 году, но сохранится даже в следующем десятилетии 4 мин.
После дебюта в США акции SK hynix выросли в цене на 13 %, глава компании говорит о высочайшем спросе на память 45 мин.
Исследование LG подтвердило: чем дороже монитор, тем лучше стрельба в шутерах 6 ч.
Японская Rapidus выбрала самый простой путь для переманивания клиентов TSMC на свой 2-нм техпроцесс 7 ч.
NASA открыло путь к замене МКС — опубликованы требования к частным орбитальным станциям 7 ч.
Долги бигтехов удвоились ради ИИ — инвесторы начинают нервничать 10 ч.
Asus представила беспроводной геймпад ROG Raikiri II Pro с частотой опроса 8000 Гц и широкими возможностями кастомизации 10 ч.
Microsoft обеспечила уволенным сотрудникам щедрые компенсации 10 ч.
Lian Li представила корпусные вентиляторы UNI Fan Flex — среди них версии с ЖК-экранами и встроенной флеш-памятью 10 ч.
Китай внезапно заморозил экспорт гелия на неопределённый срок — под угрозой производство чипов 10 ч.