Исследователи кибербезопасности обнаружили критическую уязвимость в пользовательской оболочке OxygenOS, разрабатываемой компанией OnePlus для своих смартфонов. Ошибка, получившая идентификатор CVE-2025-10184, позволяет любому приложению, установленному на устройстве, читать входящие и исходящие SMS- и MMS-сообщения без получения какого-либо разрешения от пользователя. Это создает серьезную угрозу для конфиденциальности и безопасности миллионов владельцев смартфонов OnePlus.
Детали уязвимости
Проблема заключается в обходе систем разрешений Android в рамках так называемого поставщика контента Telephony (com.android.providers.telephony). В стандартной реализации Android приложения обязаны запрашивать у пользователя разрешение READ_SMS (чтение SMS) для доступа к текстовым сообщениям. Однако в подверженных уязвимости сборках OxygenOS системные компоненты по умолчанию предоставляют открытый доступ к этим данным. Это означает, что любое приложение, даже не имеющее явных разрешений, может в фоновом режиме отправлять запросы и получать полное содержимое сообщений, а также их метаданные, без ведома и согласия владельца устройства.
Как выяснили специалисты компании Rapid7, уязвимость затрагивает устройства OnePlus под управлением OxygenOS версий 12, 14 и 15. Подтверждено наличие flaws на смартфонах OnePlus 8T (сборка KB2003_11_C.33) и OnePlus 10 Pro 5G (сборки NE2213_15.0.0.502 и NE2213_15.0.0.901). Помимо основного поставщика Telephony, проблема касается трех дополнительных системных компонентов, добавленных OnePlus: PushMessageProvider, PushShopProvider и ServiceNumberProvider. Эти компоненты также были реализованы без надлежащих проверок прав доступа, позволяя любым приложениям не только читать, но и записывать данные.
Особую опасность представляет слепая уязвимость внедрения SQL (SQL Injection) в методе update компонента ServiceNumberProvider. Вредоносное приложение может использовать эту уязвимость для посимвольного извлечения содержимого SMS-сообщений, обходя даже те потенциальные системные ограничения, которые могут быть реализованы. Учитывая, что SMS-сообщения повсеместно используются для доставки одноразовых кодов доступа к банковским аккаунтам, электронной почте и социальным сетям, последствия эксплуатации данной уязвимости могут быть крайне серьезными.
Злоумышленники получают возможность незаметно перехватывать сообщения в реальном времени. Это открывает дорогу для кражи конфиденциальной информации, компрометации аккаунтов, защищенных двухфакторной аутентификацией по SMS, и даже для проведения целевого шпионажа. Уязвимость эффективно нивелирует защиту, обеспечиваемую SMS-based MFA (многофакторная аутентификация на основе SMS), и подрывает доверие пользователей к этому методу верификации.
Компания Rapid7 опубликовала детальное уведомление о безопасности 22 сентября 2025 года, указав, что на данный момент исправление для CVE-2025-10184 не выпущено. Исследователи отметили, что первоначальные попытки координации с OnePlus через программу вознаграждений за уязвимости (bug bounty) столкнулись с трудностями из-за ограничительных условий о неразглашении, предложенных производителем. Два дня спустя, 24 сентября, OnePlus подтвердила получение отчета и сообщила о начале внутреннего расследования. Тем не менее, график выпуска обновления безопасности пока не объявлен, что оставляет пользователей беззащитными перед потенциальными атаками.
В ожидании исправления от производителя эксперты по безопасности рекомендуют владельцам устройств OnePlus принять ряд защитных мер. Необходимо устанавливать приложения только из проверенных источников, таких как официальный магазин Google Play, и удалить несущественные или подозрительные программы. Крайне важно отказаться от использования SMS для двухфакторной аутентификации, перейдя на более безопасные методы, например, аппаратные ключи или приложения-аутентификаторы, такие как Google Authenticator или Microsoft Authenticator. Для личного общения следует предпочесть мессенджеры с сквозным шифрованием (end-to-end encryption), например: Signal или WhatsApp, вместо стандартных SMS. Также рекомендуется по возможности переводить важные уведомления, например от банков, с SMS на встроенные push-уведомления внутри приложений.
Корпоративным ИТ-отделам и специалистам по управлению мобильными устройствами (MDM) советуют провести аудит установленного на корпоративных смартфонах OnePlus программного обеспечения на предмет необычной активности, связанной с доступом к SMS, и ужесточить политики управления разрешениями. До тех пор пока OnePlus не выпустит патч, именно осознанное отношение к установке приложений и следование лучшим практикам многофакторной аутентификации остаются основными способами защиты конфиденциальных данных от несанкционированного доступа.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-10184
- https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
- https://assets.contentstack.io/v3/assets/blte4f029e766e6b253/bltd4b7439a28b6c866/68d168a6930d015d43a6b588/CVE-2025-10184_PoC.zip
