OnePlus Oxygenos’ta yeni açıklanan bir kusur, bir cihazdaki herhangi bir uygulamanın SMS ve MMS mesajlarını kullanıcıya sormadan okumasını sağlar.
CVE-2025-10184 olarak izlenen sorun, telefon içerik sağlayıcısında (com.android.providers.telephony) izin baypasından kaynaklanmaktadır.
Normalde, uygulamalar android Read_SMS iznini tutmalı ve kısa mesajlara erişmeden önce kullanıcıyı istemelidir.
Bununla birlikte, etkilenen oksijenos yapılarda, çekirdek iç sağlayıcılar varsayılan olarak açık erişim sağlar. Bu, uygulamaların mesaj verilerini ve meta verileri rıza veya bildirim olmadan sessizce sorgulayabileceği anlamına gelir.
CVE Detayları
CVE-2025-10184, Oxygenos 12 ve 15’i çalıştıran birden fazla OnePlus aygıtını etkiler. Rapid7 Araştırmacılar, OnePlus 8T (Oxygenos 12, Build KB2003_11_C.33) ve OxyGenos 15 üzerindeki kusurları doğruladı (OxyGenos 15, NE2213_15.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
| CVE kimliği | Güvenlik Açığı Açıklaması | Etkilenen Oxygenos versiyonları |
| CVE-2025-10184 | Telefon Sağlayıcı İzni Bypass, herhangi bir uygulamanın rıza olmadan SMS/MMS verilerini okumasına izin verir | 12, 14, 15 |
Üç ek içerik sağlayıcısı PushMessageProvider, Pushshoprovider ve ServiceNumberProvider, uygun izin kontrolleri olmadan OnePlus tarafından tanıtıldı.
Bu sağlayıcılar herhangi bir uygulama tarafından okuma ve yazma işlemlerine izin verir. ServiceNumberProvider’ın güncelleme yöntemindeki kör bir SQL enjeksiyon güvenlik açığı, kötü amaçlı uygulamaların çıkarılmasını ve SMS içeriğini her seferinde bir karakter çıkarmasını sağlar ve Read_SMS uygulamasını atlar.
Metin mesajlaşma, tek seferlik kodlar ve kişisel iletişim için yaygın olarak kullanılır, bu da bu kusuru ciddi bir gizlilik ve güvenlik riski haline getirir.
Bir uygulama, SMS aracılığıyla gönderilen bankacılık, e -posta veya sosyal medya doğrulama kodlarını sessizce çalabilir.
Kötü niyetli yazılımlar gelen mesajları gerçek zamanlı olarak toplayabilirken, devlet destekli aktörler veya baskıcı rejimler kitle gözetimi konusunu kullanabilir.
Güvenlik açığı, SMS tabanlı çok faktörlü kimlik doğrulama korumalarını etkili bir şekilde bozar ve kısa mesaj doğrulamasında kullanıcı güvenini zayıflatır.
Rapid7, danışmanlığı 22 Eylül 2025’te CVE-2025-10184’ü sabitlenmemiş olarak işaretleyerek yayınladı.
OnePlus’un kamu böcek ödülünü koordine etme girişimleri, kısıtlayıcı olarak görevlendirme terimleri nedeniyle başarısız oldu.
24 Eylül’de OnePlus raporu kabul etti ve bir soruşturmanın devam ettiğini doğruladı.
Hiçbir güvenlik güncelleme programı açıklanmadı ve kullanıcıları bir yama yayınlanana kadar açığa çıkardı.
Bir satıcı düzeltmesi beklerken, kullanıcılar şunları yapmalıdır:
- Yalnızca güvenilir uygulamalar yükleyin: Gereksiz uygulamaları kaldırın ve yüklemeleri doğrulanmış kaynaklarla sınırlayın.
- Kimlik doğrulama yöntemlerini değiştirin: SMS tabanlı çok faktörlü kimlik doğrulamayı kimlik doğrulayıcı uygulamalarla değiştirin.
- Şifreli mesajlaşma kullanın: Standart SMS yerine uçtan uca şifreli hizmetleri lehine.
- Push bildirimlerini tercih et: Mümkün olduğunda, kritik uyarıları SMS’den uygulama içi bildirimlere değiştirin.
Güvenlik ekipleri ve mobil cihaz yöneticileri, olağandışı SMS erişimi için yüklü uygulamaları denetlemeli ve katı izin politikalarını zorlamalıdır.
OnePlus bir düzeltme yapana kadar, proaktif uygulama hijyeni ve MFA en iyi uygulamaları, hassas mesaj verilerine yetkisiz erişimlere karşı en güçlü savunmalar olmaya devam eder.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.