OnePlus оставляет пользователей беззащитными из-за SMS-багов до октябрьского обновления

Лозунг OnePlus всегда звучал как «Never Settle» («Никогда не соглашайся на меньшее»), но последние новости о серьёзной уязвимости в SMS оставили многих владельцев этих смартфонов в состоянии тревоги. Компания Rapid7, специализирующаяся на кибербезопасности, сообщила о критической проблеме в OxygenOS 12, 14 и 15, затрагивающей такие модели, как OnePlus 8T и OnePlus 10 Pro 5G. Суть в том, что вредоносные приложения могут получить доступ к SMS и MMS на телефоне без разрешения, действий пользователя и даже без уведомлений. В мире, где SMS до сих пор используются для многофакторной аутентификации (MFA), это не просто баг, а реальная угроза безопасности.

Уязвимость получила идентификатор CVE-2025-10184. Rapid7 обнаружила её ещё в мае 2025 года и сразу связалась с OnePlus, но производитель долгое время не реагировал. Только после публичного раскрытия 23 сентября компания признала проблему. Тесты подтвердили, что баг присутствует в нескольких сборках OxygenOS, начиная с 12-й версии. Более ранние версии на базе OxygenOS 11 оказались защищены, что указывает на то, что проблема появилась именно с переходом на новые прошивки.

Главная опасность в том, что SMS часто содержат критические данные: банковские коды, ссылки для подтверждения входа, сбросы паролей и личные сообщения. Так как пользователь никак не уведомляется о несанкционированном доступе к этим данным, уязвимость фактически обнуляет защиту SMS-аутентификации. Вредоносное приложение, установленное на устройстве, может незаметно перехватывать коды и получать доступ к социальным сетям, банковским аккаунтам и другим сервисам.

Новость вызвала всплеск недовольства среди пользователей. Многие вспомнили предыдущие проблемы OnePlus — например, «зелёные линии» на экранах некоторых моделей. Теперь к аппаратным проблемам добавились и серьёзные пробелы в безопасности. Один из комментаторов язвительно заметил: «Never settle? Да это уже скорее Never secure». Другие саркастически предположили, что компания тянула с исправлением, потому что «не верила, что кто-то ещё пользуется этими старыми моделями».

По словам Rapid7, речь идёт не о конкретном железе, а о глубинной проблеме в Android-компонентах OxygenOS. Это значит, что потенциально уязвимость может коснуться и других смартфонов группы BBK — например, устройств с ColorOS от Oppo. Вопрос остаётся открытым и может затронуть куда более широкий круг пользователей, чем только OnePlus.

Как реагирует компания? После долгого молчания OnePlus 24 сентября всё же подтвердила, что работает над исправлением. Представитель сообщил изданию 9to5Google, что патч готов и начнёт распространяться по всему миру с середины октября. До этого момента владельцы уязвимых моделей остаются в зоне риска. Официально бренд заявляет, что «продолжает приоритизировать безопасность клиентов», но медлительность в данной ситуации уже подорвала доверие многих фанатов.

Пока обновления нет, Rapid7 советует соблюдать несколько правил. Во-первых, ставить приложения только из проверенных источников и удалить всё лишнее ПО. Во-вторых, по возможности отказаться от SMS-аутентификации и перейти на приложения-авторизаторы (Google Authenticator, Authy и др.). В-третьих, для личных переписок лучше использовать мессенджеры с end-to-end шифрованием, такие как Signal или WhatsApp. И наконец, по возможности менять SMS-уведомления на push-уведомления внутри приложений.

Эта история высветила более широкий вопрос: насколько производители реально готовы реагировать на угрозы безопасности? В идеале компании должны действовать быстрее, ведь речь идёт о защите ключевых данных миллионов пользователей. Rapid7 почти пять месяцев ждала реакции, и только публичное раскрытие подтолкнуло бренд к действиям. Для пользователей это сигнал: полагаться исключительно на SMS как на метод защиты уже небезопасно. Индустрия постепенно переходит к более надёжным решениям — приложениям и аппаратным токенам, но пока переход не завершён, риски остаются.

В конечном счёте уязвимость OxygenOS показала, что старые методы вроде SMS-аутентификации становятся ахиллесовой пятой безопасности. Владельцам OnePlus придётся подождать середины октября, но многие уже задумываются, стоит ли дальше «никогда не соглашаться на меньшее», если приходится соглашаться на компромиссы в безопасности.