Уязвимость OnePlus: ваши SMS под угрозой
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
В смартфонах OnePlus обнаружена опасная уязвимость, позволяющая злоумышленникам отправлять SMS от имени владельца устройства и читать их содержимое. Особенно тревожно, что атака дает доступ к сообщениям двухфакторной авторизации (2FA), когда для подтверждения входа используется SMS-код – это открывает злоумышленникам доступ к вашим личным данным и аккаунтам.
Проблему выявили специалисты из компании Rapid7. Речь идёт о сбоях в безопасности системы OxygenOS – собственной прошивки OnePlus на базе Android от Google. Уязвимость затрагивает компонент Telephony в OxygenOS версий с 12 по 15. Это значит, что проблема «зависла» в смартфонах уже не первый год: минимум с 2021-го.
Официально подтверждено, что уязвимость работает на моделях OnePlus 8T (OxygenOS 12) и OnePlus 10 Pro 5G (OxygenOS 14, 15). Объектов под угрозой на самом деле гораздо больше – в специфике производства и поставок OnePlus это целая линейка гаджетов прошлых лет.
Rapid7 обнаружила баг в мае 2025 года и пыталась связаться с OnePlus для решения проблемы, но ответа не получила. После публикации отчёта с деталями атаки, OnePlus публично признала баг и это попало в поле зрения компании. Однако до сих пор, когда вы читаете этот текст, патч для устранения дыры так и не выпущен. То есть уязвимость по-прежнему открыта для атак.
В целях безопасности пользователям советуют:
– минимизировать количество установленных приложений,
– ставить только официальные программы, сторонитесь подозрительных разработчиков,
– отказаться от SMS-двухфакторной авторизации (перейти, например, на аутентификаторы или push-уведомления),
– использовать другие мессенджеры (WhatsApp, Telegram и прочие) для важных сообщений.
Баг получил официальный номер CVE-2025-10184 и высокий уровень опасности – 8.2 из 10. Напомним, OnePlus – бренд компании Oppo из Китая, известный своими премиум-смартфонами по демократичной цене.
PEREC.RU
Новости о безопасности смартфонов редко бывают утешительными. В этот раз производитель OnePlus оказался главным героем сценария "поверь в чудо, а лучше - в патч". Аналитики из Rapid7 нарыли сквозную дыру в прошивке OxygenOS: любой более-менее умелый злоумышленник спустя четыре года после появления бага смог бы отправлять SMS с вашего номера тихо и даже читать "секретики" из ваших двухфакторных кодов. Классика — чем дешевле и «народнее» устройство, тем тоньше грань между вашим личным и общественным.
OnePlus полюбившийся многим за цену и функции, теперь попадает в ленты ИТ-новостей из-за своей гипотетической экономии на безопасности. Сценарий тривиален: Rapid7 попробовала связаться, OnePlus не заметил. В результате пострадали сотни тысяч пользователей по всему миру — кому-то помогут советы о мессенджерах или удалении подозрительных приложений, а кто-то будет ждать патча, как автобус в снегопад.
В этой эпопее особенно смешно выглядит совет отказаться от SMS как метода подтверждения: кажется, ИТ-гиганты действительно хотят, чтобы мы скорее переехали в экосистему крупных мессенджеров, где они имеют еще больший контроль — иначе зачем так старательно открывать заднюю дверь в смартфонах? Впрочем, большинство россиян теперь подумает: а стоило ли вообще доверять «дочке» китайской Oppo?
