Дослідники Rapid7 повідомили про серйозний дефект у прошивці OnePlus OxygenOS, який отримав ідентифікатор CVE-2025-10184. Помилка дозволяє будь‑якому встановленому застосунку без запиту дозволів читати вміст і метадані SMS на пристрої користувача. За даними дослідників, на момент публікації патч ще відсутній, оприлюднено технічні деталі та обмежений PoC для підтвердження експлуатації.
Що сталося: витік SMS через модифікації Android Telephony
Коренева причина — зміни OnePlus у системному пакеті Android Telephony. У прошивку додано низку експортованих контент‑провайдерів (зокрема PushMessageProvider, PushShopProvider та ServiceNumberProvider). У їхніх маніфестах відсутні належні обмеження доступу: перевірки прав на читання/запис реалізовано некоректно, тож будь‑який застосунок за замовчуванням може взаємодіяти з цими провайдерами без пов’язаних із SMS дозволів.
Додатково, вхідні параметри не проходять належної валідації, що відкриває шлях до «сліпих» SQL‑інʼєкцій. Атакувальник може відновлювати текст і атрибути повідомлень, по символу оцінюючи реакцію системи (наприклад, коди повернення при операції update), навіть без прямого виконання SELECT.
Як працює атака: SQL‑інʼєкція та обхід моделі дозволів
Контент‑провайдери в Android — це системні інтерфейси доступу до даних за схемою content://. Вони мають перевіряти дозволи на кожну операцію. У даному випадку логіка перевірок ослаблена, а спотворені параметри запиту дають можливість маніпулювати SQL‑виразами «в темну». У підсумку модель безпеки Android, яка зазвичай вимагає явного READ_SMS і згоди користувача, фактично обходиться.
Які пристрої OnePlus під ризиком
Rapid7 вказує на уразливість у OxygenOS 12–15 (включно з версіями на базі Android 15). Експлуатацію підтверджено на OnePlus 8T та OnePlus 10 Pro з різними збірками Telephony‑компонентів. Йдеться не про апаратний дефект: проблема у системному модулі, тож інші моделі OnePlus на відповідних версіях ОС також можуть бути вразливими.
Наслідки для користувачів і сценарії експлуатації
Тихе зчитування SMS відкриває шлях до перехоплення одноразових кодів (2FA/OTP), підтверджень транзакцій, повідомлень від банків і сервісів. Для зловмисника достатньо домогтися встановлення будь‑якого застосунку — від відверто шкідливого до на вигляд легітимного, але з небезпечним SDK чи рекламним модулем. Навіть сувора політика дозволів Android не захищає, адже вразливість зумовлена помилками експорту та валідації всередині провайдерів.
Чому порушення моделі дозволів Android небезпечне
Система дозволів Android ґрунтується на мінімальних привілеях і явній згоді користувача. Коли експортовані компоненти ігнорують ці принципи, дані стають доступними «обхідними» шляхами. Сліпа SQL‑інʼєкція підсилює ризик: зловмисник може відновлювати вміст без прямого читання, опираючись на поведінку БД та коди помилок.
Рекомендації з мінімізації ризику до виходу патча
Зменшуйте площу атаки: видаляйте рідко вживані застосунки, встановлюйте тільки з перевірених джерел і від надійних розробників.
Тимчасово відмовтеся від SMS‑2FA: перейдіть на застосунки‑генератори одноразових кодів (TOTP) або апаратні ключі там, де це підтримується.
Перенесіть чутливі комунікації у месенджери зі сквозним шифруванням (E2EE) до випуску оновлень.
Для компаній: застосовуйте MDM/EMM‑політики, білi списки застосунків, контроль джерел встановлення та моніторинг подій на пристроях, аби мінімізувати ризик експлуатації через сторонні SDK.
Позиція OnePlus і що очікувати далі
Після публікації дослідження Rapid7 компанія OnePlus підтвердила проблему та повідомила про аналіз інциденту. Користувачам слід очікувати оновлень безпеки та встановлювати їх відразу після виходу. До релізу патчів важливо дотримуватися наведених вище заходів обережності й уважно ставитися до встановлення нових застосунків та їхніх дозволів.
CVE-2025-10184 наочно демонструє, як точкові зміни у платформених компонентах можуть зруйнувати захисну модель Android. Зменшуйте кількість встановленого ПЗ, використовуйте не‑SMS 2FA і стежте за оновленнями системи — ці прості кроки суттєво знижують імовірність компрометації особистих повідомлень та облікових записів. Поширте цю інформацію всередині команди або родини та перевірте налаштування своїх пристроїв уже сьогодні.