Dopo mesi di silenzio, finalmente OnePlus ha rotto il silenzio annunciando pubblicamente di essere pronta a rilasciare una patch per correggere una grave vulnerabilità. Segnalata all'azienda dall'azienda Rapid7, la falla consente alle app terze di accedere agli SMS della vittima, con il rischio di rubare informazioni sensibili, inclusi i codici OTP.
Rapid7, che ha rivelato l'esistenza della falla al pubblico solamente lunedì scorso, spiega di aver cercato di contattare OnePlus in più occasione, senza però ottenere mai risposta. Le prime email risalgono a maggio. Mentre scriviamo questa notizia, la falla risulta ancora presente.
La falla, indicata con il codice CVE-2025-10184, riguarda specificatamente OxygenOS, l'interfaccia proprietaria di OnePlus e OPPO. Stando a quanto dichiara Rapid7, virtualmente qualsiasi applicazione installata dall'utente potrebbe sfruttare la vulnerabilità per accedere segretamente agli SMS/MMS, oltre che ad alcuni metadati. Questo senza che l'utente commetta alcun errore: non servono azioni da parte sua, né interazioni di alcun tipo.
L'utente non riceve notifiche dell'accesso ai dati degli SMS. Questo potrebbe comportare il furto d'informazioni sensibili, compromettendo la sicurezza offerta dai sistemi di MFA (l'autenticazione a più fattori) basati su SMS
si legge nel rapporto. Oggi moltissimi servizi si affidano ancora agli SMS per inviare i codici di autenticazione; solo una minoranza delle piattaforme fa affidamento su app ad hoc (come Google Authenticator), generalmente ritenute più sicure (perché immuni dal rischio di SIM Swapping).
Rapid7 ha aggiunto che la gravità della falla è tale da porre il rischio di operazioni di sorveglianza condotte da attori statali. Insomma, potrebbe venire sfruttata per spiare giornalisti, attivisti e rivali.
La buona notizia è che dopo l'annuncio pubblico, OnePlus ha finalmente deciso di rompere il silenzio e dichiarare che è a conoscenza del problema. La cattiva notizia è che per la patch bisognerà aspettare ancora un po': il rollout è previsto per metà ottobre. "OnePlus conferma il suo impegno nella protezione dei dati degli utenti e darà sempre priorità al potenziamento della sicurezza", recita il comunicato stampa dell'azienda.
Quanto ai modelli affetti dal problema, non ci sono ancora conferme ufficiali. Rapid7 ha testato e confermato la vulnerabilità solo su un OnePlus 8T con OxygenOS 12 e su un OnePlus 10 Pro con OxygenOS 14 e 15. "Riteniamo che sia stata introdotta a partire da Oxygen 12", spiega Rapid7.
DR lancia un nuovo marchio: ecco Stilnovo. Tante novità al Salone Auto Torino