Súlyos sebezhetőségre bukkantak a szakemberek a OnePlus készülékein futó, Android-alapú OxygenOS rendszerben. A hibát a Rapid7 kiberbiztonsági cég fedezte fel, és igencsak kiterjedt: egy sor rendszerverziót érint, egészen az OxygenOS 12-ig visszamenően. (A legújabb stabil verzió az OxygenOS 15.)
A Rapid7 egészen pontosan egy jogosultság-megkerülési sérülékenységre bukkant. A CVE-2025-10184 kód alatt nyilvántartott sebezhetőséget kihasználva bármelyik telepített alkalmazás hozzáférhet az SMS-eihez és az MMS-eihez, anélkül, hogy engedélyt kérne hozzá. Ez nem tűnhet súlyos gondnak, pedig nagyon is az: sok szolgáltatás SMS-ben küldi ki kétlépcsős azonosítókódot, amit így egy csalárd app ellophat, hogy a saját rosszindulatú tevékenységéhez használjon fel.
A biztonsági cég hónapok óta próbálta elérni a OnePlust, hogy értesítse a hibáról, de a mobilgyártó nem reagált. Még a jelentés közreadása után is több napba telt, hogy megszólaljanak. A cég szóvivője ekkor azt közölte a 9to5Google portállal, hogy tudnak a hibáról, és már a javítás is elkészült hozzá, mely október közepétől lesz elérhető egy szoftverfrissítés formájában.
A javításra tehát még várni kell pár hetet, és a Bleeping Computer javasolja: addig tartson minél kevesebb alkalmazást a készülékén, és azokat is csak megbízható fejlesztőktől szerezze be. Az SMS-ben kapott azonosítókódok helyett pedig próbáljon meg beállítani egy olyan hitelesítési módot, melyhez valamilyen hitelesítőalkalmazásra van szükség (a két legismertebb ilyen megoldás a Google és a Microsoft Authenticator).
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
