ثغرة خطيرة في رسائل OnePlus تهدد خصوصية المستخدمين التصحيح عالميا يبدأ منتصف أكتوبر

أعلنت شركة الأمن الرقمي Rapid7 عن ثغرة حرجة في مكوّن الرسائل (Telephony provider) في واجهة OxygenOS الخاصة بهواتف OnePlus، وحُدِّد الخلل بالمعرف CVE-2025-10184؛ تسمح هذه الثغرة لأي تطبيق مثبت على الجهاز بقراءة محتوى ورسائل SMS/MMS وبياناتها الوصفية دون إذن المستخدم أو تفاعله، كما لا تصدر أي إشعارات بالمعلومية عن وصول تلك التطبيقات إلى الرسائل.

سبب الاختراق ونطاقه التقني تعود جذور المشكلة إلى تعديلات أضافتها OnePlus على مزوّد الرسائل القياسي (com.android.providers.telephony) عبر إدخال مزوّدي محتوى جدد (مثل PushMessageProvider وPushShopProvider وServiceNumberProvider) من دون فرض قيود أذونات صحيحة، إضافةً إلى نقاط ضعف في منطق التحديث (blind SQL injection) داخل طرق update لهذه المزودات، وهو ما أتاح تجاوز ضوابط الصلاحيات التقليدية على المنصة.

وتبين فحوص Rapid7 أن الخلل ظهر في إصدارات OxygenOS 12 و14 و15، بينما يبدو أن OxygenOS 11 غير مُتأثر.

الأجهزة المتأثرة ومحاولات التنبيه اختبر الباحثون الاستغلال على أجهزة مثل OnePlus 8T وOnePlus 10 Pro، لكنهم حذروا من أن الخلل نظامي ومن المرجّح أن يؤثر على نطاق أوسع من الطرازات التي تعمل بالإصدارات المتأثرة من OxygenOS. حاولت Rapid7 التنسيق سريًا مع OnePlus قبل النشر، ومع تأخُّر الاستجابة نُشرت تفاصيل الثغرة وPoC لإجبار التصرف السريع.

رد OnePlus وجدول الإصلاح بعد النشر…..

لقراءة المقال بالكامل، يرجى الضغط على زر “إقرأ على الموقع الرسمي” أدناه