В смартфонах OnePlus обнаружили критическую уязвимость, позволяющую любому приложению получить доступ к SMS.

Проблема на уровне OС, затронуты все версии от OxygenOS 12 до актуальной 15-й.
Уязвимость занятная: сумрачный гений из OnePlus модифицировал стоковый Android Telephony, добавив контент-провайдеров. А вот разрешений на запись на READ_SMS в них нет, так что доступ к ней по умолчанию получают все. В итоге при определённых условиях приложение может вытянуть SMS, включая, например, коды MFA.

Со связью с разрабом вышло как всегда: исследователи с мая по август семь раз написали компании, но не получили ответа — реагировать на репорты от лаоваев недостойно уважающего себя жителя Поднебесной. После публикации отчёта уязвимость пообещали когда-нибудь закрыть. Так что пользователи недорогих китайских смартфонов, как обычно, в счёт экономии получают оригинальный подход к безопасности устройств.

BJH Chat | BJH Info