EN
أعلنت شركة الأمن الرقمي Rapid7 عن ثغرة حرجة في مكوّن الرسائل (Telephony provider) في واجهة OxygenOS الخاصة بهواتف OnePlus، وحُدِّد الخلل بالمعرف CVE-2025-10184؛ تسمح هذه الثغرة لأي تطبيق مثبت على الجهاز بقراءة محتوى ورسائل SMS/MMS وبياناتها الوصفية دون إذن المستخدم أو تفاعله، كما لا تصدر أي إشعارات بالمعلومية عن وصول تلك التطبيقات إلى الرسائل.
سبب الاختراق ونطاقه التقني
تعود جذور المشكلة إلى تعديلات أضافتها OnePlus على مزوّد الرسائل القياسي (com.android.providers.telephony) عبر إدخال مزوّدي محتوى جدد (مثل PushMessageProvider وPushShopProvider وServiceNumberProvider) من دون فرض قيود أذونات صحيحة، إضافةً إلى نقاط ضعف في منطق التحديث (blind SQL injection) داخل طرق update لهذه المزودات، وهو ما أتاح تجاوز ضوابط الصلاحيات التقليدية على المنصة.
وتبين فحوص Rapid7 أن الخلل ظهر في إصدارات OxygenOS 12 و14 و15، بينما يبدو أن OxygenOS 11 غير مُتأثر.
الأجهزة المتأثرة ومحاولات التنبيه
اختبر الباحثون الاستغلال على أجهزة مثل OnePlus 8T وOnePlus 10 Pro، لكنهم حذروا من أن الخلل نظامي ومن المرجّح أن يؤثر على نطاق أوسع من الطرازات التي تعمل بالإصدارات المتأثرة من OxygenOS. حاولت Rapid7 التنسيق سريًا مع OnePlus قبل النشر، ومع تأخُّر الاستجابة نُشرت تفاصيل الثغرة وPoC لإجبار التصرف السريع.
رد OnePlus وجدول الإصلاح
بعد النشر العام اعترفت OnePlus بالثغرة وأصدرت بيانًا تقول فيه إنها "نفّذت إصلاحًا" وأن التحديث التصحيحي سيُطرح عالميًا عبر تحديث برمجي بدءًا من منتصف أكتوبر 2025. حتى وصول هذا التصحيح، تبقى الأجهزة عرضة للاستغلال إذا وُجد تطبيق خبيث مُثبتًا عليها.
المخاطر العملية وتوصيات الأمان الفورية
تمثّل المخاطر فقدان سرية رموز المصادقة الثنائية المرسلة عبر SMS، إمكانية سرقة سجلات المحادثات، وإمكانية إرسال رسائل ضارة باسم المستخدم دون علمه، ما قد يؤدي إلى اختراق الحسابات المالية أو الخدمات الحساسة.
توصي جهات الأمن والغطاء الصحفي بفرض إجراءات مؤقتة: إزالة التطبيقات غير الضرورية أو المشبوهة، تثبيت البرمجيات فقط من متاجر موثوقة، استبدال مصادقة SMS بتطبيقات المصادقة أو مفاتيح الأمان (FIDO2/WebAuthn)، ومراجعة نشاط الحسابات الحساسة حتى إصدار باتش OnePlus.
ما الذي يعنيه ذلك لمستخدمي OnePlus؟
تبقى الحقيقة أن الخلل يمثل كسرًا لفرضية خصوصية الرسائل القصيرة على الأنظمة المتأثرة حتى تصحّح الشركة الكود المُعدَّل. وعلى الرغم من إعلان OnePlus عن خريطة طريق للتحديث، فإن الفترة الزمنية حتى منتصف أكتوبر تترك نافذة معرضة للاستغلال، وبالتالي تُعدّ الحيطة والتقييد في تثبيت التطبيقات واستخدام طرق بديلة للمصادقة أفضل سبل الحماية حالياً.
