Занимающаяся кибербезопасностью компания Rapid7 нашла в программной оболочке OxygenOS уязвимость, позволяющую обойти разрешения. Эта уязвимость выглядит весьма серьёзной, охватывая несколько версий операционной системы на устройствах разных поколений. Rapid7 удалось протестировать уязвимость на небольшой выборке телефонов OnePlus.
Уязвимость позволяет любому установленному на устройстве приложению считывать данные SMS/MMS и метаданные оператора мобильной связи. Это происходит без разрешения пользователя и не требует его участия. Rapid7 сообщала, что связаться с представителями OnePlus поначалу не удалось.
Также Rapid7 сообщила, что, хотя у OnePlus есть программа вознаграждений за найденные ошибки, она не может «участвовать в ней из-за строгих условий соглашения о неразглашении». Именно поэтому было принято решение сделать публичной информацию об уязвимости, которая ещё не была закрыта.
После публикации Rapid7 рассказала, что представители OnePlus вышли на связь. Остаётся дожидаться, когда состоится релиз закрывающего уязвимость патча.
