Una falla presente in OxygenOS, il sistema operativo di OnePlus e OPPO, ha messo a rischio la sicurezza di migliaia di utenti. La vulnerabilità, catalogata come CVE-2025-10184, consente a qualsiasi applicazione installata sul dispositivo di accedere liberamente agli SMS, agli MMS e ai relativi metadati. L’aspetto più grave è che l’utente non riceve alcuna notifica dell’intrusione. Ciò espone così informazioni delicate, come ad esempio i codici OTP utilizzati nei sistemi di autenticazione a più fattori.
OnePlus sotto pressione: sicurezza degli utenti e modelli coinvolti
La vulnerabilità è stata individuata da Rapid7 già a maggio. Per mesi però le comunicazioni all’azienda non hanno ricevuto risposta. La situazione è cambiata solo dopo la divulgazione pubblica. Questa, avvenuta pochi giorni fa, ha spinto OnePlus a riconoscere ufficialmente il problema. Nel comunicato diffuso, la società ha confermato di essere al lavoro su una patch che sarà distribuita a metà Ottobre. Nel frattempo la falla resta aperta e quindi sfruttabile da attori malintenzionati, inclusi gruppi legati ad attività di sorveglianza governativa.
Il rischio legato a questa vulnerabilità non si limita al furto di dati personali. In quanto possibilità di intercettare codici OTP potrebbe compromettere la sicurezza di conti bancari, servizi di messaggistica e piattaforme online che ancora si affidano agli SMS per l’autenticazione. Rapid7 ha segnalato che potrebbe essere utilizzato persino in contesti di spionaggio, mettendo a rischio giornalisti, attivisti e figure politiche.
Ad oggi non c’è un elenco ufficiale dei dispositivi interessati, ma i ricercatori hanno confermato la falla su un OnePlus 8T con OxygenOS 12 e su un 10 Pro con OxygenOS14 e 15. Secondo le analisi, il problema sarebbe stato introdotto proprio con le versioni 12. L’attesa ora si concentra sulla patch promessa, che dovrà non solo risolvere il bug, ma anche ristabilire la fiducia degli utenti nei confronti dell’azienda. Con la reputazione in bilico, OnePlus ha ribadito che la sicurezza è una priorità assoluta. Resta da vedere se l’intervento tardivo basterà a rassicurare la propria community, sempre più attenta alla protezione dei dati personali
