Исследователи Rapid7 сообщили о критической уязвимости в нескольких версиях OxygenOS — модифицированной Android-прошивке на устройствах OnePlus. Баг, получивший идентификатор CVE-2025-10184, позволяет любому установленному приложению получать доступ к данным и метаданным SMS-сообщений без запроса разрешений и без участия пользователя. По данным Rapid7, на момент публикации проблема остается не исправленной; производитель долго не отвечал на обращения исследователей, начиная с мая 2025 года, после чего были раскрыты технические детали и ограниченный PoC-эксплойт.
Суть уязвимости: как изменения в Android Telephony привели к утечке SMS
Корень проблемы — изменения OnePlus в стандартном пакете Android Telephony. В прошивку были добавлены дополнительные экспортируемые контент-провайдеры (включая PushMessageProvider, PushShopProvider и ServiceNumberProvider). В их манифестах отсутствует корректное ограничение прав: при правильной настройке чтения SMS разрешение на запись и обновление должно контролироваться, но здесь это не применено. В результате любое приложение по умолчанию может взаимодействовать с провайдерами, даже не имея связанных с SMS разрешений.
Дополнительно, пользовательский ввод в этих провайдерах не очищается, что открывает возможность реализации «слепых» SQL-инъекций. Атакующий может по одному символу «угадывать» содержимое записей, анализируя реакцию системы (например, значение, возвращаемое методом update). Такой подход позволяет постепенно восстановить текст и метаданные SMS из локальной базы данных устройства.
Какие устройства OnePlus затронуты и подтвержденные случаи
Rapid7 указывает, что уязвимость затрагивает OxygenOS 12–15 (включая OxygenOS 15 на базе Android 15). Эксплуатируемость подтверждена на OnePlus 8T и OnePlus 10 Pro с различными версиями OxygenOS и сборками Telephony-пакетов. Исследователи подчеркивают, что это не аппаратная ошибка: затронутые изменения относятся к системному компоненту, поэтому другие модели OnePlus на указанных версиях ОС также могут быть уязвимы.
Риски и практические сценарии атак
Бесшумный доступ к SMS создает множество угроз: от кражи одноразовых кодов (2FA/OTP) и подтверждений транзакций до получения чувствительных уведомлений от банков и сервисов. Поскольку эксплуатации достаточно факта установки приложения, угрозу представляют как вредоносные программы, так и легитимные приложения с недобросовестными SDK. Даже при строгой политике разрешений Android компрометация возможна из-за ошибки в логике экспорта провайдеров и отсутствия валидации ввода.
Почему нарушение модели разрешений особенно критично
Модель безопасности Android предполагает, что доступ к SMS регулируется явными разрешениями (например, READ_SMS), выдаваемыми пользователем. Контент-провайдеры, экспортируемые «наружу», должны проверять разрешения и фильтровать запросы. В данном случае провайдеры допускают запись/обновление без нужного контроля, а отсутствие очистки параметров запроса дает возможность слепой SQL-инъекции — методики, когда данные извлекаются по косвенным признакам реакции базы, даже без прямой выборки.
Рекомендации пользователям и организациям до выхода патча
Сократите поверхность атаки: удалите редко используемые приложения и устанавливайте софт только от проверенных разработчиков и из доверенных источников.
Откажитесь от SMS в качестве второго фактора: временно используйте приложения-генераторы одноразовых кодов (например, Google Authenticator) или аппаратные ключи, где это возможно.
Перенесите конфиденциальные коммуникации в мессенджеры со сквозным шифрованием (E2EE) до устранения уязвимости.
Для компаний: применяйте MDM/EMM-политики, белые списки приложений, контроль источников установки и мониторинг событий на устройствах. Это снижает риск эксплуатации через тыловые каналы (SDK/рекламные модули).
Реакция OnePlus и дальнейшие шаги
После публикации отчета Rapid7 компания OnePlus признала наличие проблемы и сообщила, что изучает инцидент. Пользователям следует ожидать обновлений безопасности и оперативно устанавливать патчи по мере выхода. До исправления риска важно соблюдать рекомендации по снижению воздействия и быть внимательнее к разрешениям и источникам приложений.
Угроза, воплощенная в CVE-2025-10184, наглядно демонстрирует: даже точечное отступление от стандартов платформенной безопасности может свести на нет модель разрешений Android. Поддерживайте минимальный набор приложений, используйте не-SMS 2FA и устанавливайте обновления сразу после релиза — эти простые меры существенно снижают вероятность компрометации личной переписки и аккаунтов.