Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В смартфонах OnePlus обнаружена дыра в безопасности — любое приложение может читать все SMS без разрешения

На смартфонах OnePlus обнаружена серьёзная уязвимость, открывающая потенциальным злоумышленникам доступ к данным SMS и MMS. Производитель признал факт наличия ошибки и пообещал исправить её в середине октября с обновлением ПО.

 Источник изображения: oneplus.com

Источник изображения: oneplus.com

Проблему обнаружили эксперты специализирующейся на кибербезопасности компании Rapid7. Они опубликовали результаты исследования эксплойта, позволяющего обходить разрешения, — эксплойт работает на «нескольких версиях» OxygenOS, начиная с OxygenOS 12 на смартфоне OnePlus 8T. Проблема оказалось в том, что производитель внёс в стандартный пакет Telephony изменения, открывающее любому установленному на уязвимое устройство приложению доступ к базе SMS, MMS и их метаданных «без разрешения, взаимодействия с пользователем или его согласия». TelephonyProvider — это входящий в код AOSP (Android Open Source Project) системный компонент, выступающий менеджером доступа к сообщениям. В исходном варианте он предусматривает строгие ограничения доступа к данным, но разработчики OxygenOS добавили в этот пакет дополнительные классы ContentProvider, у которых отсутствуют меры безопасности на уровне исходного TelephonyProvider.

Компания Rapid7 пыталась связаться с OnePlus и Oppo по данному вопросу с начала мая по вторую половину сентября, но за это время не получила внятного ответа и была вынуждена самостоятельно раскрыть широкой общественности информацию об уязвимости, которой присвоили номер CVE-2025-10184. Материал был опубликован 23 сентября, и только 24 сентября OnePlus сделала заявление. Китайский производитель дал ресурсу 9to5Google следующий комментарий: «Подтверждаем, что ранее была обнаружена уязвимость CVE-2025-10184, и мы уже внедрили исправление. Оно будет развёртываться по всему миру с обновлением ПО, начиная с середины октября. OnePlus по-прежнему привержена защите данных клиентов и продолжит уделять первоочередное внимание улучшению безопасности».

Учитывая, что ошибка отсутствует в OxygenOS 11, компания внесла изменения в пакет Telephony во времена Android 12, добавив, в том числе три класса ContentProvider:

  • com.android.providers.telephony.PushMessageProvider;
  • com.android.providers.telephony.PushShopProvider;
  • com.android.providers.telephony.ServiceNumberProvider.

Само по себе изменение этого пакета не несёт угрозы, но разработчики OnePlus пренебрегли соображениями безопасности и открыли для этих классов доступ к чтению (но не записи) SMS без соответствующих ограничений. Владельцам смартфонов OnePlus рекомендовано проявлять осмотрительность до выхода обновления ПО, в том числе удалить все ненужные приложения и не устанавливать новые из непроверенных источников. А механизмы многофакторной авторизации с использованием SMS, пожалуй, лучше заменить соответствующими приложениями.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Власти Китая готовятся ограничить доступ иностранцев к передовым ИИ-моделям 49 мин.
Аналитики: ещё до релиза Assassin’s Creed Black Flag Resynced обогнала Skull and Bones по продажам в Steam 9 ч.
Steam Machine сможет полноценно работать с Windows — Valve опубликовала официальные драйверы 11 ч.
Поиск Google поможет сайтам и блогерам лучше понять свою аудиторию 11 ч.
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры 11 ч.
Создатели Hitman и 007 First Light закроют офис в Стамбуле на благо онлайновой ролевой игры Project Fantasy 13 ч.
State of Decay 3 сможет обойти стороной Game Pass, несмотря на финансирование от Xbox 13 ч.
Google разрешила себе обучать ИИ на файлах пользователей из поисковых запросов, но от этого можно отказаться 14 ч.
Meta грозят штрафы на $1,5 трлн по делам о зависимости детей от Instagram и Facebook 14 ч.
Google подготовила радикальный дизайн «Переводчика» 14 ч.
Новая статья: Сравнительный тест камер флагманских смартфонов (2026) 6 ч.
Китайская DeepSeek скрытно занимается разработкой собственного ИИ-ускорителя для инференса 6 ч.
Анонсированы умные очки Solos AirGo A6 — без камеры, но с ИИ 9 ч.
Apple захватила 90 % рынка смарт-часов с ИИ, который за год вырос на 70 % 11 ч.
Marshall представила беспроводные колонки Acton IV и Stanmore IV с улучшенными басами и повышенной ремонтопригодностью 11 ч.
Huawei впервые бросит вызов Nvidia за пределами Китая — ИИ-ускорители Ascend появятся в Южной Корее 11 ч.
Российские власти не будут вводить плату за иностранный трафик 12 ч.
«Совкомбанк»: в 2026 году капитальные затраты на новые ЦОД в России сократятся на треть 12 ч.
Anthropic готова потратить миллиарды долларов на ЦОД в Австралии, но взамен требует переписать законы об интеллектуальной собственности 14 ч.
Роботакси Waymo породили хаос на улицах Сан-Франциско на День независимости США 14 ч.