Masz taki smartfon? Ktoś może czytać Twoje SMS-y
W smartfonach OnePlus odkryto poważną lukę bezpieczeństwa, która pozwala złośliwym aplikacjom na odczytywanie i wysyłanie SMS-ów oraz MMS-ów bez zgody użytkownika. Zagrożenie jest poważne – narażone są kody uwierzytelniania dwuskładnikowego.
Luka zarejestrowana jako CVE-2025-10184 dotyczy urządzeń z OxygenOS od wersji 12 do 15. Badacze z firmy Rapid7 odkryli, że winne są zmiany wprowadzone przez OnePlus w systemowym pakiecie odpowiedzialnym za obsługę funkcji telefonu i wiadomości. Do standardowego rozwiązania Androida OnePlus dodał własne komponenty (PushMessageProvider, PushShopProvider i ServiceNumberProvider), które miały stworzyć jeszcze więcej możliwości dla użytkowników – i stworzyły, ale dla cyberprzestępców. Dodatki OnePlus nie zostały odpowiednio zabezpieczone, co umożliwia atakującym wykorzystanie luk i omijanie standardowych mechanizmów ochrony Androida.
W praktyce pozwala to przejąć kody SMS uwierzytelniania dwuskładnikowego, a nawet wysyłać wiadomości w imieniu użytkownika, co naraża go na przejęcie kont czy oszustwa. Podatność potwierdzono m.in. na OnePlusie 8T z OxygenOS 12 oraz OnePlusie 10 Pro z OxygenOS 14 i 15, ale badacze ostrzegają, że inne modele prawdopodobnie również są nią dotknięte. Starsze wersje systemu, takie jak OxygenOS 11, nie wykazują tego problemu.
Sytuację dodatkowo pogorszył fakt, że OnePlus przez wiele miesięcy nie reagował na zgłoszenie – Rapid7 poinformowało o luce w maju 2025 roku i dopiero po jej upublicznieniu firma uznała problem i przygotowała łatkę. Według OnePlus poprawka zacznie być globalnie udostępniana w połowie października.
Do czasu wydania aktualizacji użytkownikom zaleca się ostrożność przy instalowaniu aplikacji oraz korzystanie wyłącznie z zaufanych źródeł. Eksperci przypominają też, aby zamiast SMS-ów wybierać bezpieczniejsze metody uwierzytelniania dwuskładnikowego, takie jak aplikacje generujące kody czy klucze sprzętowe.
