Spis treści
Smartfony to dziś centrum naszego życia – przechowują dane osobiste, wiadomości, a często i dostęp do kont bankowych. Nic więc dziwnego, że każda luka w zabezpieczeniach budzi spore obawy. Tym razem problem dotyczy marki OnePlus i jej nakładki OxygenOS, w której odkryto poważną podatność.
Groźne odkrycie dla właścicieli OnePlusów
Cyberbezpieczeństwo smartfonów to temat, który wraca jak bumerang. Wystarczy jeden błąd w oprogramowaniu, by użytkownicy stali się łatwym celem dla cyberprzestępców. Tym razem problem dotyczy marki OnePlus, której nakładka OxygenOS okazała się wyjątkowo podatna na nieautoryzowane działania związane z wiadomościami SMS.
Badacze z zespołu Rapid7 odkryli, że aplikacja „Telefon” w systemie OnePlusa może pozwalać innym zainstalowanym programom na dostęp do SMS-ów i to bez pytania użytkownika o zgodę. W praktyce oznacza to, że niepozorna aplikacja pobrana z sieci może w tle wysyłać wiadomości z telefonu, podszywając się pod właściciela urządzenia.
Które modele OnePlus są zagrożone?
Podatność została potwierdzona na takich urządzeniach jak OnePlus 8T i OnePlus 10 Pro 5G. Nie chodzi jednak o problem sprzętowy, a o samą nakładkę OxygenOS, która od wersji 12 nadaje aplikacjom zbyt wysokie uprawnienia. Luka występuje również w OxygenOS 14 oraz OxygenOS 15, co oznacza, że zagrożone są wszystkie modele wydane od 2021 roku, które działają na tych wersjach systemu.
Warto zaznaczyć, że wcześniejsza wersja OxygenOS 11 bazująca na Androidzie 11 jest wolna od tej podatności. Oznacza to, że starsze urządzenia zatrzymane na tej wersji systemu nie są narażone na problem. Niestety, nowsze modele, w tym popularne OnePlus Nord czy Nord CE, znajdują się już w grupie ryzyka.
Jakie mogą być konsekwencje luki?
Możliwość wysyłania SMS-ów przez dowolną aplikację otwiera cyberprzestępcom szerokie pole do nadużyć. Nieuprawnione wiadomości mogą dotyczyć próśb o przelew, linków do fałszywych stron czy subskrypcji SMS premium, co w konsekwencji może oznaczać poważne straty finansowe dla użytkowników. Dodatkowym zagrożeniem jest utrata prywatności. Osoba atakująca może wykorzystać tę lukę nie tylko do oszustw finansowych, ale także do przejmowania kodów weryfikacyjnych SMS, jeśli ktoś korzysta z takiej metody uwierzytelniania.
Odpowiedź OnePlus i dalsze kroki
Firma OnePlus została poinformowana o luce w tym miesiącu. Rapid7 próbowało nawiązać współpracę w celu opracowania rozwiązania, jednak pierwsze rozmowy nie przyniosły efektu. Dopiero po publikacji raportu badaczy producent oficjalnie potwierdził istnienie podatności oznaczonej jako CVE-2025-10184.
W odpowiedzi rzecznik OnePlus zapowiedział, że odpowiednia łatka bezpieczeństwa zostanie udostępniona globalnie w połowie października. Do tego czasu użytkownikom zaleca się ostrożność, a mianowicie instalowanie aplikacji wyłącznie z oficjalnych źródeł, odinstalowanie zbędnych programów oraz unikanie SMS-ów jako metody logowania dwuskładnikowego.
Co mogą zrobić użytkownicy już teraz?
Choć rozwiązanie problemu jest w drodze, czas oczekiwania na aktualizację może być kluczowy. Warto w tym okresie zmienić domyślną aplikację do SMS-ów na komunikator z szyfrowaniem wiadomości, a także zachować wzmożoną czujność wobec podejrzanych SMS-ów. Każdy komunikat z prośbą o kliknięcie w link czy przesłanie pieniędzy należy traktować jako potencjalne oszustwo, szczególnie jeśli pochodzi z nieoczekiwanego źródła.
Dopiero po wdrożeniu łatki problem zostanie definitywnie rozwiązany, jednak sam incydent pokazuje, że nawet więksi producenci tacy jak OnePlus nie są wolni od poważnych błędów w zabezpieczeniach.
Źródło: 9to5Google
Chcesz być na bieżąco? Śledź ROOTBLOG w Google News!