Predstavte si, že akákoľvek aplikácia vo vašom OnePlus telefóne môže tajne čítať vaše súkromné SMS správy, vrátane kódov pre prihlásenie. Práve takáto znepokojivá hrozba sa týka modelov s OxygenOS 12, 14 a 15.
Kyberbezpečnostní experti z firmy Rapid7 bijú na poplach. Odhalili kritickú zraniteľnosť v smartfónoch značky OnePlus, ktorá umožňuje aplikáciám obísť štandardné bezpečnostné mechanizmy systému Android a získať prístup k obsahu vašich SMS a MMS správ. Najhoršie na tom je, že sa to všetko deje potichu – bez vášho vedomia, súhlasu či akejkoľvek notifikácie.
Táto chyba, evidovaná pod kódom CVE-2025-10184, predstavuje vážne riziko pre súkromie používateľov. Nejde len o čítanie osobných konverzácií. Útočníci môžu získať citlivé informácie, ako sú overovacie kódy pre prístup k bankovým účtom, sociálnym sieťam či e-mailom. Tým sa prakticky rúca bezpečnosť dvojfaktorovej autentifikácie (MFA), ktorá sa na potvrdzovacie SMS správy často spolieha.
Ktorých modelov sa problém týka?
Experti z Rapid7 potvrdili, že chyba sa objavila s príchodom nadstavby OxygenOS 12 a staršie verzie (napríklad OxygenOS 11) ňou netrpia. Zraniteľnosť nie je viazaná na konkrétny hardvér, ale na softvérovú súčasť systému, čo znamená, že potenciálne ohrozené je široké portfólio zariadení.
Testovanie priamo potvrdilo chybu na nasledujúcich modeloch a verziách systému:
| Zariadenie / Model | Verzia OxygenOS | Číslo zostavy |
| OnePlus 8T | 12 | KB2003_11_C.33 |
| OnePlus 10 Pro 5G | 14 | NE2213_14.0.0.700(EX01) |
| OnePlus 10 Pro 5G | 15 | NE2213_15.0.0.502(EX01) |
| OnePlus 10 Pro 5G | 15 | NE2213_15.0.0.700(EX01) |
| OnePlus 10 Pro 5G | 15 | NE2213_15.0.0.901(EX01) |
OnePlus o probléme vedel mesiace, oprava prichádza
Cesta k náprave nebola okamžitá. Rapid7 informoval výrobcu o zistení už 1. mája 2025. Po niekoľkých pokusoch o komunikáciu a bez zverejnenej opravy sa firma rozhodla chybu medializovať 23. septembra, aby ochránila používateľov. Až potom prišla oficiálna reakcia.
Hovorca OnePlus pre portál 9to5Google potvrdil, že spoločnosť o chybe vie a už pripravila riešenie: „Opravu sme implementovali a začneme ju globálne distribuovať prostredníctvom softvérovej aktualizácie od polovice októbra.“
Ako ochrániť svoje súkromie okamžite?
Čakať na aktualizáciu s vedomím, že vaše správy môžu byť ohrozené, nie je ideálne. Experti z Rapid7 preto vydali štyri kľúčové odporúčania, ako minimalizovať riziko, kým oprava dorazí:
- Urobte si poriadok v aplikáciách: Inštalujte iba aplikácie z overených zdrojov (ako Obchod Play) a odstráňte všetko, čo nevyhnutne nepotrebujete. Čím menej aplikácií, tým menšia plocha pre potenciálny útok.
- Prestaňte sa spoliehať na SMS kódy: Ak používate dvojfaktorovú autentifikáciu cez SMS, okamžite ju zmeňte. Prepnite na dedikované autentifikačné aplikácie (napr. Google Authenticator, Microsoft Authenticator, Authy), ktoré sú omnoho bezpečnejšie.
- Vymeňte SMS za bezpečnejšie alternatívy: Na citlivú komunikáciu používajte aplikácie s koncovým šifrovaním (end-to-end encryption), ako sú Signal alebo WhatsApp. Obsah týchto správ je chránený pred vonkajším prístupom.
- Vypnite SMS notifikácie: Skontrolujte nastavenia služieb tretích strán a všade, kde je to možné, zmeňte SMS notifikácie na push notifikácie priamo do aplikácie.
Situácia je vážna, no nie neriešiteľná. Kým OnePlus nevydá kľúčovú aktualizáciu, zodpovednosť za ochranu citlivých dát je dočasne na pleciach samotných používateľov. Dôsledným dodržiavaním vyššie uvedených krokov môžete riziko úniku informácií výrazne znížiť.
Zdroj: Zdroj 1
