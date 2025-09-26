Gli utenti OnePlus dovranno prestare particolare attenzione nelle prossime settimane, una grave vulnerabilità di sicurezza, scoperta dalla società di cybersecurity Rapid7, interessa diverse versioni di OxygenOS e consente di accedere ai dati degli SMS (e persino ai sistemi di autenticazione a due fattori basati su messaggi) senza alcuna autorizzazione.

Il problema, identificato come CVE-2025-10184, riguarda modifiche introdotte da OnePlus nel pacchetto Android Telephony a partire da OxygenOS 12, e potrebbe colpire numerosi modelli tra cui sono già stati confermati OnePlus 8T e OnePlus 10 Pro, ma non si escludono altri dispositivi. Una falla che, se sfruttata, consente di sottrarre informazioni sensibili senza che l’utente se ne accorga e che, come spesso accade in questi casi, è stata resa pubblica dalla società già menzionata solo dopo ripetuti tentativi di contatto con l’azienda produttrice.

Una falla nel cuore degli smartphone OnePlus

Secondo il report di Rapid7, l’errore nasce dalla decisione di OnePlus di aggiungere nuovi provider di contenuti al servizio Telephony, in particolare PushMessageProvider, PushShopProvider e ServiceNumberProvider, senza dichiarare correttamente i permessi di scrittura per READ_SMS; in pratica, qualunque applicazione installata sul dispositivo può accedere ai messaggi di testo e ai relativi metadati senza alcun consenso dell’utente, aggirando l’autorizzazione Android READ_SMS che normalmente protegge questo tipo di informazioni.

Gli esperti parlano di un classico caso di bypass delle autorizzazioni, che potrebbe consentire di esfiltrare silenziosamente gli SMS, aprendo la strada a potenziali furti di codici OTP e quindi all’aggiramento di sistemi di sicurezza basati su 2FA via SMS. Il rischio non riguarda soltanto i messaggi privati, ma anche le notifiche bancarie e i codici di accesso temporanei inviati dalle piattaforme di home banking o dai social network, un terreno fertile per chiunque voglia mettere le mani sui dati personali o addirittura svuotare un conto corrente.

Gli stessi ricercatori hanno dimostrato la vulnerabilità su OnePlus 8T e 10 Pro, ma specificano che altri modelli (compresi i più recenti) potrebbero essere interessati; non si tratta quindi di un problema isolato e, almeno per il momento, non c’è un modo semplice per capire se il proprio dispositivo sia già stato preso di mira.

La reazione (lenta) di OnePlus

Rapid7 ha tentato più volte di avvisare l’azienda già a maggio 2025, senza però ottenere risposte concrete; solo dopo la pubblicazione del rapporto, avvenuto a inizio settimana, OnePlus ha riconosciuto ufficialmente la falla, confermando di essere al lavoro su una correzione. La vulnerabilità, come spiegano gli esperti, non è di quelle che possono essere ignorate, perché apre un canale diretto verso i dati più riservati dell’utente.

Un portavoce dell’azienda ha dichiarato ai colleghi di 9to5Google quanto segue:

Abbiamo preso atto della recente divulgazione dell’errore CVE-2025-10184 e abbiamo implementato una correzione. Questa verrà distribuita a livello globale tramite aggiornamento software a partire da metà ottobre. OnePlus rimane impegnata a proteggere i dati dei clienti e continuerà a dare priorità ai miglioramenti della sicurezza.

Un messaggio rassicurante certo, ma che non cancella le settimane di silenzio che hanno preceduto l’ammissione ufficiale, ben sette tentativi di contatto da parte dei ricercatori sono rimasti senza risposta; un ritardo che, se da un lato non sorprende in un settore dove i tempi di reazione possono essere lenti, dall’altro sottolinea quanto possa essere delicata la gestione della sicurezza in un contesto competitivo come quello degli smartphone Android.

Cosa fare nell’attesa di un aggiornamento

In attesa dell’aggiornamento promesso da OnePlus, gli esperti di Rapid7 suggeriscono di adottare alcune precauzioni per ridurre il rischio di compromissione:

installare solo app da fonti affidabili , come il Play Store ufficiale o provenienti da sviluppatori riconosciuti, evitando marketplace alternativi e APK di dubbia provenienza

, come il Play Store ufficiale o provenienti da sviluppatori riconosciuti, evitando marketplace alternativi e APK di dubbia provenienza rimuovere le app non essenziali , specialmente quelle che non si usano da tempo e che potrebbero contenere vulnerabilità

, specialmente quelle che non si usano da tempo e che potrebbero contenere vulnerabilità evitare l’autenticazione a due fattori via SMS , passando a soluzioni più sicure come app dedicate (Google Authenticator, Authy, Microsoft Authenticator e simili)

, passando a soluzioni più sicure come app dedicate (Google Authenticator, Authy, Microsoft Authenticator e simili) valutare, per chi utilizza spesso OTP via SMS, l’uso temporaneo di app di messaggistica alternative per comunicazioni sensibili, così da limitare l’esposizione di dati riservati

Sono consigli che possono sembrare banali, ma che assumono un peso specifico enorme in uno scenario in cui un’app malevola, anche se apparentemente innocua, potrebbe intercettare i messaggi e utilizzarli per accedere ad account bancari, social o di posta elettronica.

La vicenda dimostra ancora una volta quanto siano delicate le personalizzazioni dei produttori Android, una semplice modifica al pacchetto Telephony, introdotta per motivi funzionali, può trasformarsi in una falla capace di compromettere milioni di dispositivi; e se è vero che gli aggiornamenti di sicurezza mensili possono talvolta sembrare un fastidio, episodi come questo ricordano l’importanza di mantenere il telefono costantemente aggiornato.

Il caso OnePlus mette in evidenza anche un problema più ampio, la lentezza con cui alcuni produttori rispondono alle segnalazioni dei ricercatori, mentre gli utenti restano esposti a rischi concreti, costretti a muoversi con prudenza e a cambiare abitudini di utilizzo (basti pensare alla necessità di rinunciare temporaneamente al 2FA via SMS).

Gli utenti OnePlus dovranno dunque attendere l’aggiornamento di metà ottobre 2025, continuando a seguire le raccomandazioni di sicurezza. Resta ora da capire se, oltre ai modelli già confermati, anche altri smartphone della casa cinese risulteranno vulnerabili.