بر اساس گزارش منتشرشده، اکثر گوشیهای وانپلاس که از نسخههای جدید OxygenOS استفاده میکنند، در برابر یک آسیبپذیری جدی امنیتی آسیبپذیر هستند که امکان دسترسی بدون مجوز به دادههای پیامک (SMS و MMS) را برای اپلیکیشنها فراهم میسازد. این نقص امنیتی با شناسه CVE-2025-10184 توسط شرکت امنیتی Rapid7 کشف شده و مربوط به تغییراتی است که وانپلاس در سرویس تلفن (Telephony) سیستمعامل اندروید اعمال کرده است.
طبق یافتهها، اپلیکیشنهای نصبشده میتوانند بدون اجازه یا تعامل کاربر، به دادههای پیامک دسترسی پیدا کنند. Rapid7 این آسیبپذیری را در نسخههای OxygenOS 12، 14 و 15 شناسایی کرده، اما نسخه قدیمیتر OxygenOS 11 که بر پایه اندروید 11 توسعه یافته، از این نقص مصون است. هرچند تنها دو مدل OnePlus 8T و 10 Pro 5G مورد آزمایش قرار گرفتهاند، اما به گفته Rapid7، این نقص به یکی از اجزای اصلی اندروید مربوط میشود و احتمالاً محدود به سختافزار خاصی نیست.
وانپلاس در بیانیهای که به وبسایت 9to5Google ارائه داده، وجود این آسیبپذیری را تأیید کرده و اعلام کرده است که وصله امنیتی مربوطه از اواسط اکتبر بهصورت جهانی منتشر خواهد شد. با این حال، Rapid7 مدعی است که پیش از افشای عمومی، تلاش کرده تا بهصورت خصوصی با وانپلاس تماس بگیرد، اما به دلیل عدم پاسخگویی و محدودیتهای برنامه باگ بانتی این شرکت، مجبور به انتشار عمومی یافتهها شده است. تا زمان انتشار بهروزرسانی امنیتی، Rapid7 توصیه میکند:
- فقط اپلیکیشنهایی را نصب کنید که از منابع معتبر دریافت شدهاند.
- اپلیکیشنهای غیرضروری را حذف کنید.
- از اپلیکیشنهای پیامرسان رمزگذاریشده استفاده کنید.
- برای احراز هویت دو مرحلهای، بهجای پیامک از اپلیکیشنهای تأییدکننده استفاده کنید.
