Tvrtka za kibernetičku sigurnost Rapid7 otkrila je ozbiljan propust u OxygenOS-u 12, 14 i 15 kojeg koriste brojni OnePlusovi mobiteli. Radi se, naime, o ranjivosti kodne oznake CVE-2025-10184 koja omogućuje zlonamjernim aplikacijama pristup SMS i MMS podacima bez dopuštenja korisnika ili prethodne obavijesti.

Kako navode iz Rapida7, ovaj propust može dovesti do curenja osjetljivih informacija te kompromitirati sigurnost višefaktorskih autentifikacija putem SMS-a. Iz tog su razloga obavijestili OnePlus još početkom svibnja ove godine, ali nakon višekratnih pokušaja komunikacije, otkriće je javno objavljeno tek prošloga tjedna.  

OnePlus je tada priznao problem i najavio da radi na rješenju, a glasnogovornik tvrtke je za 9to5Google potvrdio kako je zakrpa već razvijena te da će biti globalno dostupna kroz softversko ažuriranje od sredine listopada.

Do tada Rapid7 korisnicima OnePlusovih mobitela savjetuje sljedeće:

• Instalaciju aplikacija samo iz pouzdanih izvora te uklanjanje svih koje nisu nužne
• zamjenu višefaktorske autentifikacije putem SMS-a aplikacijom za autentifikaciju
• korištenje end-to-end enkripcijskih aplikacija za razmjenu poruka umjesto SMS-a
• prelazak na push obavijesti unutar aplikacija umjesto SMS notifikacija, gdje je to moguće

Cijelo izvješće Rapida7 s više informacija i detalja dostupno je ovdje.