A Rapid7 kiberbiztonsági cég egy súlyos biztonsági résre hívja fel a figyelmet, amely az OxygenOS 12, 14 és 15 rendszereket futtató OnePlus mobilokat érinti. A hiba révén a rosszindulatú alkalmazások engedély és a felhasználó tudta nélkül hozzáférhetnek az SMS és MMS üzenetek adataihoz.
A CVE-2025-10184 néven követett sebezhetőség különösen veszélyes, mert a felhasználó semmilyen értesítést nem kap arról, hogy egy alkalmazás hozzáfér az üzeneteihez. Ez nemcsak érzékeny információk kiszivárgásához vezethet, hanem gyakorlatilag megkerülhetővé teszi az SMS-alapú, kétfaktoros hitelesítés által nyújtott védelmet.
A hiba az OxygenOS 12-be került bele valamilyen módon, a 11-es verzió még nem volt érintett. A Rapid7 tesztjei a OnePlus 8T és a OnePlus 10 Pro 5G modelleken is megtalálták a biztonsági rést, de mivel a probléma nem hardverspecifikus, valószínűleg további, OxygenOS 12-t, 14-et vagy 15-öt futtató OnePlus készülék is veszélyeztetett lehet.
A kiberbiztonsági cég már 2025 májusában felvette a kapcsolatot a OnePlus-szal az ügyet illetően, de a gyártó csak a szeptember 23-i nyilvános közzététel után reagált érdemben. Ezt követően a kínai gyártó szóvivője megerősítette, hogy tudnak a hibáról, és már elkészítették a javítást. Azt egy szoftverfrissítés keretében teszik majd elérhetővé, viszont erre valamiért október közepéig kell várnunk. Akkor indul majd a folt globális terjesztése.
Amíg a javítás megérkezik, érdemes megfontolni a Rapid7 által javasolt óvintézkedéseket. Az egyik a nagy klasszikus, vagyis hogy csak megbízható forrásból telepítsünk alkalmazásokat, és távolítsuk el a nem létfontosságú appokat. A másik az, hogy a biztonság növelése érdekében javasolt az SMS-alapú, kétfaktoros védelemről egy dedikált hitelesítő alkalmazás használatára áttérni, még ha csak ideiglenesen is.
A továbbiakban javasolják a végponttól végpontig titkosított üzenetküldő alkalmazások használatát az SMS helyett, amennyiben érzékeny kommunikációt szeretnénk lefolytatni. Ezek mellett, ahol lehetséges, érdemes lecserélni a szolgáltatóktól érkező, SMS-alapú jelzéseket alkalmazáson belüli push-értesítésekre.
Forrás: GSMArena
