Rapid7 раскрыла критическую уязвимость в OnePlus: как смартфон открывает двери хакерам

Представьте, что ваш смартфон перестал быть личным устройством и превратился в открытую книгу для незнакомцев. Именно это грозит владельцам OnePlus: исследователи из Rapid7 сообщили об уязвимости CVE-2025-10184, позволяющей посторонним приложениям читать ваши SMS и MMS. А это значит — любой одноразовый пароль, банковский код или сообщение может оказаться в руках злоумышленников.

27 сентября компания Rapid7 опубликовала отчёт об обнаруженной проблеме. Ошибка в системе безопасности OnePlus даёт возможность приложению без разрешения получать доступ к личным сообщениям пользователя. По словам исследователей, «эта уязвимость может быть использована для обхода базового разрешения Android READ_SMS и незаметного получения SMS-данных без согласия пользователя, что ломает SMS-базированную многофакторную аутентификацию».

Технически речь идёт о так называемом permission bypass. Корневая причина — отсутствие авторизации в провайдерах PushMessageProvider, PushShopProvider и ServiceNumberProvider, а также «слепая SQL-инъекция» в методе update.

Уязвимость подтверждена на OnePlus 8T (OxygenOS 12) и OnePlus 10 Pro (OxygenOS 14 и 15), но версии OxygenOS 11 не затронуты. OnePlus пообещала выпустить патч в середине октября 2025 года.

На первый взгляд, «утечка SMS» кажется мелочью. Но именно через такие сообщения проходят ключи от нашей цифровой жизни. Коды 2FA, пароли для подтверждения переводов, уведомления от банков и сервисов — всё это можно перехватить. «Приложения могут читать входящие SMS без каких-либо запросов, выданных разрешений или действий пользователя» — отмечают исследователи.

Получив доступ к сообщениям, злоумышленник фактически может обойти двухфакторную защиту и проникнуть в чужую жизнь. Как подчеркнуло издание The Verge, «CVE-2025-10184 позволяет любому установленному приложению получать доступ к SMS-данным и метаданным без разрешения или взаимодействия пользователя».

Что можно сделать пользователям прямо сейчас?
— Установить все доступные обновления и не откладывать выход октябрьского патча.
— Проверить список установленных приложений и ограничить им доступ к сообщениям и другим чувствительным данным.
— Отказаться от установки APK-файлов из сомнительных источников.
— Настроить альтернативные методы двухфакторной аутентификации — приложения-генераторы кодов или физические ключи.

Главное — помнить о «разделении рисков». Если смартфон остаётся единственной точкой входа во все ваши сервисы и устройства, это удобство оборачивается уязвимостью.

Сегодня мы обсуждаем SMS, но границы между цифровым и реальным миром стремительно стираются. Смартфоны управляют замками, сигнализациями, системами «умного дома». Если телефон взломан, злоумышленники получают не только данные, но и потенциальный доступ к вашему дому.

Поэтому в вопросах безопасности важно иметь независимые решения. Например, умные дверные замки, которые работают автономно и не зависят от уязвимостей смартфона.

Один из примеров — дверной замок Haier HFD-T15-CA. Он использует биометрию и индивидуальные коды доступа, а управление не завязано только на смартфон. Даже если ваш телефон скомпрометирован, дверь останется закрытой. Такой подход напоминает страховку: цифровая гигиена + отдельное устройство для защиты дома = спокойствие пользователя.