OnePlus CVE-2025-10184 ranjivost

AUTOR ·

U OnePlus pametnim telefonima otkrivena je kritična ranjivost koja ugrožava korisničke podatke putem pristupa SMS porukama bez dozvole ili pristanka. Ranjivost, identifikovana kao CVE-2025-10184 od strane kompanije Rapid7, utiče na više verzija OxygenOS verzija i omogućava bilo kojoj instaliranoj aplikaciji da čita osjetljive informacije. Ovaj bezbjednosni propust ističe važnost robusnog upravljanja dozvolama aplikacija i naglašava potrebu da proizvođači daju prioritet blagovremenom otklanjanju ranjivosti.

OnePlus phone Vulnerability

OnePlus CVE-2025-10184 ranjivost; Source: Bing Image Creator

ONEPLUS RANJIVOST

Otkriće kritične ranjivosti, CVE-2025-10184, u operativnom sistemu OxygenOS koji koriste OnePlus pametni telefoni izazvalo je zabrinutost širom tehnološke zajednice. Ova ranjivost omogućava bilo kojoj aplikaciji na uređaju da čita sadržaj SMS poruka i povezane metapodatke bez traženja dozvola, a utiče na sve verzije sistema od OxygenOS 12 do trenutne OxygenOS 15.

Osnovni uzrok ove ranjivosti leži u OnePlus modifikaciji standardnog Android Telephony paketa. Konkretno, kompanija je uvela nove izvezene davaoce usluga — PushMessageProvider, PushShopProvider i ServiceNumberProviderr — kojima nedostaju eksplicitni zahtevi za dozvole za operaciju READ_SMS u njihovim manifestima. Ovaj propust omogućava neograničen pristup podacima bilo kojoj instaliranoj aplikaciji na uređaju. Drugim riječima, zlonamjerni akter može da iskoristi ovu ranjivost razvojem zlonamjerne aplikacije koja ne zahtjeva nikakve dozvole, a ipak dobija neograničen pristup osjetljivim informacijama vezanim za SMS.

Odsustvo filtriranja zahtjeva za unos dodatno pogoršava situaciju, stvarajući mogućnost za takozvane slijepe SQL injekcije. U takvim scenarijima, zlonamjerni akteri mogu rekonstruisati sadržaj poruke red po red iz baze podataka uređaja pod određenim uslovima, uključujući prisustvo određenih nizova u bazi podataka i dostupnost operacija umetanja.

Sigurnosni istraživači su demonstrirali dokaz koncepta koji potvrđuje da se SMS podaci mogu izvući pomoću ove ranjivosti na OnePlus uređajima koji koriste ranjive OxygenOS verzije. Pored toga, sigurnosni istraživači su testirali svoje nalaze na modelima OnePlus 8T i OnePlus 10 Pro, a rezultati ukazuju da ranjivost ne zavisi od hardvera. To znači da su svi OnePlus pametni telefoni koji koriste pogođene verzije sistema podložni eksploataciji.

Ranjivost je prvi put prijavila kompanija Rapid7 u maju 2025. godine, ali uprkos ponovljenim obavještenjima, proizvođač nije izdao ispravku niti pružio bilo kakav smislen odgovor. Tek nakon javnog objavljivanja ove kritične ranjivosti, kompanija OnePlus je najavila interni pregled, iako nije dat vremenski okvir za popravku. Ovaj nedostatak hitnosti i transparentnosti od strane kompanije je posebno zabrinjavajući s obzirom na ozbiljnost ranjivosti.

 

UTICAJ

Otkriće kritične ranjivosti CVE-2025-10184 u operativnom sistemu OxygenOS, koji se koristi na OnePlus pametnim telefonima, ukazuje na ozbiljne bezbjednosne izazove za korisnike i organizacije. Ova ranjivost omogućava bilo kojoj instaliranoj aplikaciji pristup SMS i MMS podacima bez eksplicitnog pristanka ili prethodno odobrene dozvole korisnika.

Takva mogućnost eksploatacije direktno ugrožava povjerljivost i integritet ličnih informacija. Korisnici, nesvjesni prisustva prijetnje, mogu nehotice prenositi osjetljive podatke putem kompromitovanih uređaja, čime se otvara prostor za neovlašteni pristup od strane zlonamjernih aktera.

Dodatno zabrinjava činjenica da je ranjivost CVE-2025-10184 široko rasprostranjena, te ne pogađa samo pojedinačne korisnike, već i čitave zajednice koje se oslanjaju na OnePlus uređaje za svakodnevnu komunikaciju. Gubitak povjerenja u ove tehnologije može imati dugoročne posljedice po društvenu dinamiku, kao i po ekonomsku stabilnost.

Ozbiljnost ovog bezbjednosnog propusta naglašava potrebu za robusnim mjerama sajber bezbjednosti na svim digitalnim platformama. Organizacije su pozvane da iznova procijene svoje bezbjednosne protokole, kako bi ublažile rizike povezane sa korištenjem kompromitovanih uređaja, te obezbijedile siguran i pouzdan prenos osjetljivih podataka.

Na kraju, uticaj ranjivosti CVE-2025-10184 osjetiće se u različitim sektorima, jer se i korisnici i organizacije suočavaju sa izazovom očuvanja povjerenja u ove uređaje. Posljedice ove ranjivosti predstavljaju snažan podsjetnik na važnost kontinuiranog praćenja bezbjednosnih prijetnji i proaktivnog upravljanja rizicima.

 

ZAKLJUČAK

Otkriće ranjivosti telefona OnePlus dešava se unutar dinamičnog i evoluirajućeg okruženja u kojem su pametni telefoni postali neizostavan dio svakodnevnog života. S obzirom na to da ovi uređaji sve češće obrađuju osjetljive informacije, zabrinutost zbog bezbjednosti podataka raste eksponencijalno.

U takvom kontekstu, posebno se ističe odgovornost proizvođača da obezbijede da njihovi proizvodi zadovoljavaju minimalne standarde bezbjednosti i pouzdanosti. Zabrinjavajuće je što pomenuta ranjivost nije otklonjena uprkos ponovljenim obavještenjima, što otvara pitanje o posvećenosti kompanije OnePlus povjerenju i zadovoljstvu svojih korisnika.

Još značajnije, ova ranjivost ukazuje na širi problem unutar industrije pametnih telefona — potrebu za strožim bezbjednosnim protokolima tokom razvoja softverskih rješenja. Proizvođači moraju dati prioritet rigoroznim mjerama testiranja i kontroli kvaliteta kako bi spriječili pojavu sličnih propusta u budućim generacijama uređaja.

U tom smislu, regulatorna tijela imaju ključnu ulogu u pozivanju proizvođača na odgovornost za njihove postupke — ili izostanak istih. Pojačana kontrola može podstaći kompanije poput OnePlus da preispitaju svoje prioritete i usmjere dodatne resurse ka unapređenju funkcija zaštite podataka.

Sveobuhvatne posljedice ovakvih ranjivosti prevazilaze nivo pojedinačnog korisnika i zadiru duboko u društvenu strukturu. S obzirom na to da se pametni telefoni sve intenzivnije integrišu u svakodnevne aktivnosti, potreba za pouzdanom zaštitom podataka prerasta tehnički okvir i postaje ključni društveni izazov.

 

ZAŠTITA

Pošto još uvijek nije dostupna ispravka za ranjivost CVE-2025-10184 od strane proizvođača, korisnici pogođenih OnePlus uređaja mogu ograničiti svoju izloženost putem sljedećih koraka:

  1. OnePl.us ranjivost telefona ističe važnost opreznosti prilikom instaliranja aplikacija na mobilne uređaje. Da kako bi se korisnici zaštitili od potencijalnih bezbjednosnih rizika, neophodno je instalirati aplikacije samo iz pouzdanih izvora i renomiranih prodavnica aplikacija. Ovo uključuje provjeru informacija o programeru aplikacije i čitanje korisničkih recenzija prije donošenja odluke;
  2. Pored opreza tokom procesa instalacije, korisnici bi takođe trebalo redovno da pregledaju svoje instalirane aplikacije i uklanjaju one koje više nisu potrebne ili se ne koriste. Na taj način mogu smanjiti površinu napada svog uređaja i smanjiti potencijalne ranjivosti:
  3. Za prijave sa autentifikacijom u dva koraka (eng. two-factor authentication – 2FA), korisnici bi trebalo što prije da pređu na korištenje aplikacija za autentifikaciju. Ove aplikacije formiraju vremenski osjetljive kôdove koji se mogu koristiti umjesto jednokratnih lozinki zasnovanih na SMS porukama, čime se sprečava slanje osjetljivih informacija preko nebezbjednih kanala;
  4. Korisnici koji se oslanjaju na ugrađene servise za ćaskanje radi komunikacije trebalo bi da razmotre prelazak na alternativna rješenja trećih strana, s obzirom na to da je poznato kako određene zlonamjerne aplikacije mogu iskoristiti ranjivost prisutnu na OnePlus telefonima, čime se potencijalno omogućava pristup osjetljivim informacijama;
  5. Redovno ažuriranje mobilnih uređaja i instaliranih aplikacija najnovijim bezbjednosnim ispravkama može pomoći u sprječavanju iskorišćavanja postojećih ranjivosti. Korisnici bi trebalo da daju prioritet ažuriranjima softvera iz pouzdanih izvora i da osiguraju da sve aplikacije rade na podržanim verzijama kako bi se smanjila izloženost;
  6. Organizacije, posebno, mogu željeti da uspostave politike koje regulišu instalacije i korištenje aplikacija u svojim mrežama ili uređajima. Ovo bi moglo da uključuje stavljanje odobrenih aplikacija na listu dozvoljenih aplikacija, sprovođenje strogih podešavanja dozvola i redovan pregled instaliranog softvera za potencijalne bezbjednosne rizike;
  7. Edukacija korisnika o bezbjednim praksama mobilnih aplikacija može mnogo doprijeti sprječavanju iskorišćavanja ranjivosti poput problema sa OnePlus Programi obuke treba da naglase važnost instaliranja aplikacija samo iz pouzdanih izvora, opreznosti sa zahtevima za dozvole i redovnog pregleda instaliranog softvera zbog potencijalnih bezbjednosnih rizika;
  8. Korisnici bi trebalo redovno da pregledaju svoje instalirane aplikacije i povezana podešavanja dozvola zbog potencijalnih bezbjednosnih rizika. Na taj način mogu rano da identifikuju svaku sumnjivu aktivnost i preduzmu korektivne mjere prije nego što bude prekasno;
  9. Organizacije bi trebalo da razmotre implementaciju rješenja za upravljanje mobilnim uređajima (eng. mobile device management – MDM) koje im omogućava centralno upravljanje mobilnim uređajima unutar svojih mreža ili organizacija. Ovo bi moglo da uključuje sprovođenje strogih bezbjednosnih politika, praćenje instalacija aplikacija i daljinsko brisanje osjetljivih podataka u slučaju gubitka ili krađe uređaja;
  10. Prilikom izbora novog mobilnog uređaja za ličnu upotrebu ili organizaciono raspoređivanje, korisnici bi trebalo da daju prioritet bezbjednosnim funkcijama u odnosu na druge faktore poput cijene ili funkcionalnosti. Ovo uključuje traženje uređaja sa ugrađenim mehanizmima za bezbjedno pokretanje i robusnim mogućnostima šifrovanja;
  11. Korištenje jakih lozinki i metoda autentifikacije može pomoći u sprječavanju neovlaštenog pristupa mobilnim uređajima čak i ako se iskoristi ranjivost. Korisnici bi trebalo da daju prioritet bezbjednosti lozinki, koriste autentifikaciju u dva koraka (2FA) kad god je to moguće i redovno ažuriraju svoje podatke za prijavu radi dodatne zaštite;
  12. Redovne rezervne kopije osjetljivih podataka sačuvanih na mobilnim uređajima ili u oblaku mogu pomoći u sprječavanju gubitaka usljed gubitka uređaja, krađe ili iskorišćavanja ranjivosti. Korisnici bi trebalo da daju prioritet redovnim rutinama pravljenja rezervnih kopija koristeći bezbjedne metode poput rješenja za skladištenje zasnovanih na šifrovanju;
  13. Korisnici bi trebalo kontinuirano da prate svoje mobilne uređaje i povezane mreže zbog potencijalnih bezbjednosnih rizika. Na taj način mogu rano identifikovati nove prijetnje i preduzeti korektivne mjere prije nego što bude prekasno.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.