WebTech Rodos: Η OnePlus υπόσχεται να επιδιορθώσει ένα σημαντικό ελάττωμα λογισμικού που ανοίγει το δρόμο σε εφαρμογές τρίτων να παραβιάσουν την ιδιωτικότητά σας και ακόμη και να κλέψουν ευαίσθητους κωδικούς επαλήθευσης δύο παραγόντων.

Ο προμηθευτής υπηρεσιών κυβερνοασφάλειας Rapid7 αποκάλυψε την ευπάθεια την περασμένη Δευτέρα, αναφέροντας ότι είχε αρχικά προσπαθήσει να επικοινωνήσει με την OnePlus τον Μάιο σχετικά με την επιδιόρθωση της ευπάθειας. Ωστόσο, παρά τα επαναλαμβανόμενα μηνύματα ηλεκτρονικού ταχυδρομείου, η Rapid7 δήλωσε ότι δεν έλαβε ποτέ απάντηση.

Ως αποτέλεσμα, η ευπάθεια δεν έχει ακόμα επιδιορθωθεί. Η ευπάθεια, με την ονομασία CVE-2025-10184, επηρεάζει το OxygenOS που βασίζεται σε Android, το οποίο είναι εγκατεστημένο σε κινητά τηλέφωνα OnePlus. Σύμφωνα με την Rapid7, οποιαδήποτε εγκατεστημένη εφαρμογή μπορεί να εκμεταλλευτεί το ελάττωμα για να αποκτήσει κρυφά πρόσβαση σε SMS/MMS και ορισμένα μεταδεδομένα στο τηλέφωνο «χωρίς άδεια, αλληλεπίδραση με τον χρήστη ή συγκατάθεση».

«Ο χρήστης επίσης δεν ενημερώνεται ότι γίνεται πρόσβαση στα δεδομένα SMS. Αυτό θα μπορούσε να οδηγήσει σε αποκάλυψη ευαίσθητων πληροφοριών και θα μπορούσε να παραβιάσει αποτελεσματικά την ασφάλεια που παρέχουν οι έλεγχοι ταυτότητας πολλαπλών παραγόντων (MFA) που βασίζονται σε SMS», προσθέτει η Rapid7.

Αυτό είναι ιδιαίτερα ανησυχητικό, επειδή ορισμένες διαδικτυακές υπηρεσίες εξακολουθούν να παρέχουν κωδικούς επαλήθευσης δύο παραγόντων μέσω SMS, αντί μέσω μιας εφαρμογής επαλήθευσης ταυτότητας. Το CVE-2025-10184 μπορεί θεωρητικά να επιτρέψει σε μια εφαρμογή τρίτου μέρους για κινητά, συμπεριλαμβανομένου οποιουδήποτε εγκατεστημένου κακόβουλου λογισμικού, να υποκλέψει αυτούς τους time-sensitive κωδικούς.

Η Rapid7 πρόσθεσε: «Ένα τόσο ευρύ ζήτημα όπως αυτό θα μπορούσε να αποτελέσει ευλογία τόσο για τους κρατικά χρηματοδοτούμενους χάκερς που επιδιώκουν να παρακολουθούν τα θύματά τους όσο και για τα αυταρχικά καθεστώτα που επιδιώκουν να καταπιέσουν την πολιτική διαφωνία».

Τα καλά νέα είναι ότι η OnePlus αναγνώρισε επιτέλους το πρόβλημα και υποσχέθηκε να το διορθώσει, δηλώνοντας στο PCMag: «Αναγνωρίζουμε την πρόσφατη αποκάλυψη του CVE-2025-10184 και έχουμε εφαρμόσει μια επιδιόρθωση. Αυτή θα κυκλοφορήσει παγκοσμίως μέσω ενημέρωσης λογισμικού από τα μέσα Οκτωβρίου. Η OnePlus παραμένει προσηλωμένη στην προστασία των δεδομένων των πελατών της και θα συνεχίσει να δίνει προτεραιότητα στις βελτιώσεις της ασφάλειας».

Ωστόσο, η εταιρεία δεν διευκρίνισε ποια τηλέφωνα επηρεάζονται, αν και πιθανότατα επηρεάζει όλα τα τηλέφωνα OnePlus που λειτουργούν με OxygenOS 15, την τελευταία έκδοση.

Η Rapid7 έχει δοκιμάσει και επιβεβαιώσει το ελάττωμα μόνο σε ένα OnePlus 8T που λειτουργεί με OxygenOS 12 και σε ένα OnePlus 10 Pro που λειτουργεί με OxygenOS 14 και 15. «Οι εκδόσεις του OxygenOS 11 που δοκιμάστηκαν δεν ήταν ευάλωτες. Ως εκ τούτου, θεωρούμε ότι το πρόβλημα εισήχθη ως μέρος του OxygenOS 12», πρόσθεσε η Rapid7.

Εν τω μεταξύ, οι επηρεαζόμενοι χρήστες θα πρέπει να αναζητήσουν μια ενημέρωση λογισμικού τον Οκτώβριο από την OnePlus, η οποία έχει δεσμευτεί να παρέχει ενημερώσεις ασφαλείας στα τηλέφωνά της για τουλάχιστον τρία χρόνια.
πηγή: pcmag.com