OnePlus оставила миллионы пользователей без защиты - свободный доступ к их SMS
Компания Rapid7 обнаружила уязвимость в системе Telephony Android, внесённой OnePlus, которая позволяет приложениям получать доступ к SMS и MMS без согласия владельца устройства. Уязвимость затрагивает смартфоны с OxygenOS 12, 14 и 15, а патч будет выпущен не ранее середины октября. OnePlus признала проблему и заявила о готовности решения, однако публичное раскрытие уязвимости произошло после безрезультатных попыток обратной связи с компанией.
По данным компании Rapid7, большинство пользователей смартфонов OnePlus рискуют потерей конфиденциальности: уязвимость в системе Telephony Android позволяет приложениям получать доступ к SMS и MMS без согласия владельца. Патч, который должен устранить проблему, будет выпущен не ранее середины октября.
Уязвимость затрагивает большинство устройств
Разработчики обнаружили, что изменения, внесенные OnePlus в сервис Telephony Android, создают возможность для неправомерного доступа к данным. Уязвимость затрагивает устройства, работающие под управлением OxygenOS 12, 14 и 15. Исключением остаются смартфоны, на которых установлен OxygenOS 11 или более ранние версии, основанные на Android 11.
Тестирование проводилось на моделях OnePlus 8T и 10 Pro 5G, однако эксперты отмечают, что уязвимость связана с ядром Android, поэтому вероятно, что она затрагивает и другие устройства.
OnePlus подтвердила проблему, но патч будет позже
Компания OnePlus официально признала проблему. В заявлении, переданном в Google, представитель отметил, что решение уже разработано, но его глобальная реализация начнётся не раньше середины октября. «OnePlus продолжает оставаться приверженной защите данных клиентов и будет продолжать приоритетно работать над улучшениями в области безопасности», — сказано в сообщении.
Rapid7 выложила информацию о найденной уязвимости на своём блоге в понедельник. OnePlus отреагировала лишь в среду. Представители Rapid7 утверждали, что предпринимали попытки связаться с OnePlus в частном порядке, но безрезультатно. Публичное раскрытие стало следствием отсутствия реакции и ограничений, связанных с программой вознаграждений за выявленные уязвимости.
Рекомендации пользователям
До тех пор, пока не будет выпущен патч, Rapid7 рекомендует владельцам OnePlus-устройств соблюдать меры предосторожности. Среди них:
- Устанавливать приложения только из проверенных источников;
- Удалять ненужные приложения;
- Использовать зашифрованные мессенджеры вместо SMS;
- Отказаться от SMS-аутентификации в пользу приложений-аутентификаторов.
Интересно: Каковы риски для пользователей, пока уязвимость не устранена? Насколько эффективны текущие рекомендации?
Уязвимость в OnePlus: когда безопасность отстает от потребительского спроса
Современные смартфоны — это не просто устройства связи, а полноценные цифровые личности, хранящие личные данные, финансовые учетные записи и профессиональную информацию. Когда в таком устройстве обнаруживается системная уязвимость, это не просто техническая неприятность, а сигнал о более глубоких проблемах в подходе к безопасности и управлению рисками. В случае OnePlus уязвимость в ядре Android, модифицированном кастомной оболочкой OxygenOS, раскрывает слабые места в цепочке: от производителя до конечного пользователя.
Когда производитель отстает от угроз
OnePlus, как и большинство брендов, ориентированных на молодежь и ценителей высоких характеристик, стремится к быстрому обновлению интерфейсов и функционала. Однако этот подход часто приводит к компромиссам в области безопасности. OxygenOS, основанная на Android, получает не только обновления от Google, но и собственные модификации, которые могут вносить новые риски. В данном случае изменения в Telephony-сервисе создали дыру, через которую приложения могут получать доступ к SMS и MMS без согласия владельца.
Важно понимать: уязвимость не ограничивается OnePlus. Поскольку проблема связана с ядром Android, она может затронуть другие устройства, особенно если они используют подобные модификации. Это ставит под сомнение эффективность текущей модели обновления ПО, где ответственность за безопасность размазана между Google, OEM-производителями и операторами.
Тренд: Современные угрозы безопасности требуют не просто реакции, а системного подхода, где производители, разработчики и пользователи действуют в едином направлении. В противном случае даже самые популярные устройства становятся уязвимыми.
Как реагирует рынок и пользователи
OnePlus признала проблему, но патч будет выпущен не ранее середины октября. Это означает, что пользователи в ближайшие недели остаются в зоне риска. Rapid7, вынужденная публично раскрыть уязвимость из-за бездействия компании. Она не просто информирует, а вынуждена играть роль защитника интересов потребителей. Такие случаи становятся все более частыми: когда внутренние программы ответственного раскрытия не срабатывают, на помощь приходят сторонние исследователи.
Для российского пользователя, где рынок смартфонов быстро меняется, а бренды типа OnePlus пользуются популярностью из-за сочетания цены и качества, ситуация требует внимательного подхода. В условиях, когда обновления безопасности приходят с задержкой, пользователь вынужден сам минимизировать риски: устанавливать приложения только из проверенных источников, использовать аутентификаторы вместо SMS, шифровать данные.
Обратите внимание: Уязвимости в смартфонах — это не только техническая проблема, но и вопрос доверия. Если пользователь чувствует, что его данные небезопасны, он может сменить бренд, что в долгосрочной перспективе влияет на репутацию и продажи.
Угрозы масштабируются: новые данные и тренды
Новые данные подтверждают, что угрозы для Android-устройств в России резко растут. Так, в 2025 году активность троянца Mamont увеличилась в 36 раз по сравнению с 2024 годом. Он перехватывает SMS и push-уведомления для взлома аккаунтов, распространяясь через поддельные приложения и вредоносные файлы в мессенджерах. Также в пять раз выросло число случаев заражения бэкдором Triada, позволяющим злоумышленникам контролировать устройство, воровать аккаунты и скрывать следы атак.
Дополнительно, в сентябре 2025 года был зафиксирован рост атак, связанных с новыми троянцами, такими как RatOn. Он крадет финансовые данные, включая криптокошельки, а затем шифрует информацию на устройстве, блокируя доступ к ней. Такие угрозы распространяются через непроверенные репозитории и поддельные приложения.
В контексте роста угроз особенно важно отметить, что Google планирует внедрить новую систему проверки идентичности разработчиков приложений для Android. Эта мера направлена на сокращение числа вредоносных приложений, особенно тех, которые загружаются вне Google Play. Приложения, загружаемые из сторонних источников, в 50 раз чаще содержат вредоносное ПО.
Ключевые угрозы для Android-устройств в 2025 году:
- Mamont — рост в 36 раз, перехват SMS и кодов подтверждения.
- Triada — рост в 5 раз, бэкдор, позволяющий контролировать устройство.
- RatOn — двойная угроза: кража данных и шифрование для вымогательства.
- Hook — распространяется через GitHub и поддельные репозитории.
Что дальше: шаги к системной безопасности
Для российского бизнеса и государства важно понимать, что уязвимости в мобильных устройствах — это не просто IT-тема, а вопрос национальной безопасности. Мобильные устройства часто используются для доступа к корпоративным системам, банковским приложениям и государственным сервисам. Если в этих устройствах есть дыры, это создает угрозу не только отдельным пользователям, но и всей инфраструктуре.
Для минимизации рисков необходимо:
- Регулярно обновлять ПО, особенно критически важные компоненты безопасности;
- Проводить аудиты установленных приложений;
- Перейти на двухфакторную аутентификацию, исключающую SMS;
- Обучать сотрудников основам цифровой гигиены.
В условиях, когда уязвимости обнаруживаются все чаще, а обновления приходят с задержкой, защита данных становится не просто обязанностью IT-отдела, а частью стратегии развития бизнеса.
