Yüklü herhangi bir uygulamanın izin istemeden veya kullanıcıları bildirmeden SMS ve MMS mesajlarını okumasına izin veren OnePlus Oxygenos’ta ciddi bir güvenlik açığı keşfedilmiştir.
CVE-2025-10184 olarak adlandırılan kusur, Oxygenos sürümlerini 12’den 15’e kadar çalıştıran, potansiyel olarak SMS tabanlı çok faktörlü kimlik doğrulama (MFA) sistemlerini tehlikeye atarak ve hassas kişisel iletişimleri yetkisiz erişime maruz bırakarak birden fazla OnePlus aygıtını etkiler.
Siber güvenlik firması Rapid7, bu izin baypas güvenlik açığını, OnePlus 8T, OnePlus 10 Pro 5G ve potansiyel olarak ekosistemdeki diğer cihazlar dahil olmak üzere birkaç OnePlus akıllı telefon modelinde tanımladı.
Güvenlik açığı, SQL enjeksiyon teknikleri aracılığıyla kullanılabilecek Android telefon paketi (com.android.providers.telephony) içindeki uygunsuz güvenli dahili içerik sağlayıcılarından kaynaklanmaktadır.
OnePlus Oxygenos Güvenlik Açığı
Güvenlik açığı, uygulamalar arasında yapılandırılmış veri erişimini yöneten Android’in içerik sağlayıcı sistemini kullanır.
OnePlus, OxyGenOS uygulamalarında stok Android: PushMessageProvider, PushshopProvider ve ServiceNumberProvider’da bulunmayan üç ek ihraç edilen içerik sağlayıcısını tanıttı.
Bu sağlayıcılar yetersiz izin kontrolleri içerir ve uygun SQL enjeksiyon korumalarından yoksundur.
En kritik kusur, güncelleme yönteminin dezenfektan olmadan parametre aracılığıyla keyfi SQL kodunu kabul ettiği ServiceNumberProvider sınıfında mevcuttur.
Kötü niyetli uygulamalar, raporun belirttiği gibi, SMS veri karakterini cihazın mesaj veritabanından karakterle çıkarmak için boolean çıkarım tekniklerini kullanarak kör SQL enjeksiyon saldırıları yapmak için bu zayıflıktan yararlanabilir.
Sömürü süreci, SQL sorgularının Union Select ifadeleri ve mesaj içeriğini sistematik olarak çıkarmak için substr işlevleri ile hazırlanmasını içerir.
Bu güvenlik açığı, basit mesaj müdahalesinin ötesinde önemli güvenlik sonuçları sunar.
Kusur, Android’in SMS izni sistemini okuma, kötü amaçlı uygulamaların SMS verilerine kullanıcı izni veya sistem bildirimleri olmadan sessizce erişmesini sağlar.
En kritik olarak, bu, bankacılık uygulamaları, sosyal medya platformları ve diğer güvenlik duyarlı hizmetler tarafından kullanılan SMS tabanlı MFA sistemlerini tehlikeye atar.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Oxygenos 12, 14 ve 15 çalıştıran OnePlus cihazları (örn. 8t, 10 Pro) |
| Darbe | SMS ve MMS verilerinin ve meta verilerin yetkisiz okunması; SMS tabanlı MFA’nın sessiz bypass |
| Önkoşuldan istismar | 1. korunmasız telefon içerik sağlayıcıları ile savunmasız oksijenos versiyonu 2. Açıkta en az bir satır veya kukla satır ekleme yeteneği 3. Cihaza yüklü kötü amaçlı uygulama |
| CVSS 3.1 puanı | 7.8 (Yüksek) |
Hafifletme
Güvenlik açığı, birden fazla cihaz modelinde Oxygenos sürümlerini 12, 14 ve 15’i etkiler. Özellikle, test edilen Oxygenos 11 versiyonları savunmasız değildi, bu da 2021’de Oxygenos 12 geliştirme döngüsü sırasında güvenlik kusurunun getirildiğini düşündürmektedir.
RAPID7, konunun, iletişimleri izlemek isteyen devlet destekli rakiplerin ve otoriter rejimlerin gözetim faaliyetlerini etkileyebileceğini tahmin ediyor.
OnePlus, Mayıs 2025’ten bu yana Rapid7’nin açıklama girişimlerine yanıt vermedi ve satıcı koordinasyonu olmadan halkın açıklamasına yol açtı.
Kullanıcılar, zorunlu olmayan uygulamaları kaldırarak, SMS tabanlı MFA’dan kimlik doğrulayıcı uygulamalara geçiş yaparak ve OnePlus CVE-2025-10184’e hitap eden güvenlik yamalarını yayınlayana kadar uçtan uca şifreli mesajlaşma platformlarını kullanarak maruziyeti azaltabilir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
