Эксперты в области кибербезопасности обнаружили опасную уязвимость в прошивке OxygenOS, используемой в смартфонах OnePlus. Проблема затрагивает версии с 12 по 15 и позволяет злоумышленникам отправлять SMS от имени пользователя и получать доступ к содержимому сообщений, включая коды двухфакторной аутентификации (2FA).
Сотрудники компании Rapid7 нашли уязвимость в системном компоненте Telephony Content Provider, который отвечает за обработку SMS и голосовых функций. Учитывая длительный цикл поддержки прошивок OnePlus, уязвимость могла оставаться незамеченной с 2021 года.
Она позволяет:
- отправлять текстовые сообщения от имени пользователя
- читать входящие SMS, включая 2FA-коды от банков, соцсетей и сервисов
Уязвимость подтверждена
Эксперты проверили эксплойт на устройствах:
- OnePlus 8T (OxygenOS 12)
- OnePlus 10 Pro 5G (OxygenOS 14 и 15)
По словам Rapid7, это лишь малая часть уязвимых устройств, поскольку OnePlus использует общую архитектуру прошивки на многих моделях.
Rapid7 обнаружила уязвимость ещё в мае 2025 года и неоднократно пыталась связаться с OnePlus. Однако производитель не отвечал на обращения, из-за чего специалисты вынуждены были опубликовать Proof-of-Concept (PoC) в сентябре.
Только после этого OnePlus признала наличие проблемы и пообещала начать расследование. Однако на момент публикации этой новости патч всё ещё не выпущен.
Как защититься:
- отказаться от SMS-аутентификации в пользу приложений (например, Google Authenticator, Authy)
- использовать мессенджеры с шифрованием (WhatsApp, Signal, Telegram) вместо обычных SMS
Источник: TechRadar
Теперь следить за нашими публикациями можно в Google Новостях, а прямую речь главреда, комментарии и самое интересное за день вы найдете в Telegram.
