Una grave vulnerabilità minaccia gli smartphone OnePlus, con particolare attenzione rivolta ai modelli OnePlus 8T, 10 Pro e, potenzialmente, ad altri dispositivi della gamma. Inclusi i più recenti come OnePlus Nord CE 5. Il problema è stato scoperto dalla società di sicurezza informatica Rapid7, che ha individuato una falla nel sistema Telephony introdotta da modifiche proprietarie di OnePlus a partire da OxygenOS 12. In sostanza, qualsiasi app installata sul dispositivo può leggere gli SMS senza dover richiedere permessi, aggirando completamente la protezione standard di Android.
Ma OnePlus risponde in ritardo: aggiornamento atteso per ottobre
Questa violazione apre le porte al furto di dati personali, codici OTP e messaggi sensibili, con gravi implicazioni per la sicurezza degli utenti. I ricercatori spiegano che si tratta di un bypass dei permessi READ_SMS, provocato da un’errata implementazione di tre provider interni (PushMessageProvider, PushShopProvider e ServiceNumberProvider). La falla, registrata con il codice CVE-2025-10184, consente l’accesso invisibile ai dati da parte di app potenzialmente malevole, anche se apparentemente innocue. Il pericolo riguarda dunque l’intero mondo Android modificato da OnePlus, non soltanto i modelli già testati.
La reazione del produttore è arrivata solo dopo la pubblicazione del report da parte di Rapid7, nonostante ben sette tentativi di contatto avviati già a maggio 2025. Solo a fine settembre OnePlus ha riconosciuto ufficialmente la vulnerabilità e ha promesso una patch correttiva, prevista per metà ottobre. Nel frattempo, gli utenti dovranno adottare precauzioni autonome per proteggersi. Gli esperti consigliano di evitare il 2FA via SMS, utilizzare autenticatori dedicati e limitare l’installazione di app a quelle provenienti dal Play Store o da sviluppatori fidati.
La vicenda mette in luce i rischi legati alle personalizzazioni dei produttori Android, dove modifiche interne, anche se pensate per migliorare l’esperienza utente, possono accidentalmente aprire varchi gravissimi nella sicurezza. Ancora una volta si evidenzia quanto sia fondamentale mantenere il proprio smartphone aggiornato e non sottovalutare l’importanza delle patch mensili. Il comportamento di OnePlus, purtroppo non isolato nel panorama Android, solleva interrogativi sull’efficienza nella gestione delle segnalazioni critiche da parte delle aziende tech. Gli utenti restano esposti, in attesa che il software venga finalmente messo in sicurezza.
