Akıllı telefonlarda belirli dönemlerde basit ama etkili güvenlik açıkları ortaya çıkabiliyor. Bunun en yakın örneği olarak geçtiğimiz yıllarda ortaya çıkan ve sadece tek bir SMS ile iPhone'ları kilitleyebilen yeniden başlatmak zorunda bırakan güvenlik açığını gösterebiliriz. Bu kez OnePlus akıllı telefonlar güvenlik açığı ile gündeme geldi. Siber güvenlik şirketi Rapid7, OxygenOS 12, 14 ve 15 sürümlerini çalıştıran OnePlus cihazlarında kullanıcıdan izin almadan SMS ve MMS verilerine erişim sağlayabilen kritik bir güvenlik açığı tespit etti. OnePlus Kullanıcıları Ekim Ayına Kadar Risk Altında! Rapid7’nin açıklamasına göre, bu açık sayesinde kötü niyetli uygulamalar hiçbir kullanıcı etkileşimi veya onayı olmadan mesajlarınıza ulaşabiliyor. Üstelik “kullanıcıya SMS verilerinin erişildiğine dair herhangi bir bildirim de yapılmıyor" Bu durum, hassas bilgilerin sızmasına ve SMS tabanlı iki aşamalı kimlik doğrulama (MFA) güvenliğinin devre dışı kalmasına yol açabiliyor. Rapid7’nin doğruladığı güvenlik açığı şu cihaz ve yazılım sürümlerinde tespit edildi; Cihaz / Model Paket sürümü OxygenOS sürümü Yapı numarası OnePlus 8T / KB2003 3.4.135 12 KB2003_11_C.33 OnePlus 10 Pro 5G / NE2213 14.10.30 14 NE2213_14.0.0.700(EX01) OnePlus 10 Pro 5G / NE2213 15.30.5 15 NE2213_15.0.0.502(EX01) OnePlus 10 Pro 5G / NE2213 15.30.10 15 NE2213_15.0.0.700(EX01) OnePlus 10 Pro 5G / NE2213 15.40.0 15 NE2213_15.0.0.901(EX01) Rapid7, bu güvenlik açığının CVE-2025-10184 koduyla takip edildiğini ve OxygenOS 12 ile ortaya çıktığını; test ettiği OxygenOS 11 sürümlerinde bu problemin bulunmadığını bildirdi. Şirket ayrıca açığın donanıma özgü görünmediğini, Android’in temel bir bileşenini etkilediği için 8T veya 10 Pro 5G dışındaki OnePlus modellerinin de risk altında olabileceğini vurguladı. Rapid7, bu kritik açığı 1 Mayıs 2025’te OnePlus’a iletti. Ardından hem OnePlus hem de Oppo ile defalarca iletişim kurdu ve bulgularını 23 Eylül 2025’te kamuoyuna açıkladı. Bir gün sonra OnePlus, açığı doğruladı ve konuyu incelediğini bildirdi. OnePlus, ilk etapta hangi adımları atacağını paylaşmasa da 9to5Google’a yaptığı açıklamada, “CVE-2025-10184 açığını kabul ediyoruz ve bir düzeltme geliştirdik. Bu yazılım güncellemesi Ekim ortasından itibaren dünya genelinde yayınlanacak” dedi. Şirket, müşteri verilerinin korunmasının öncelikleri olduğunu da vurguladı. Kullanıcılar Ne Yapmalı? Düzeltme paketi Ekim ortasında yayınlanana kadar Rapid7, kullanıcıların şu önlemleri almasını öneriyor: Yalnızca güvenilir kaynaklardan uygulama yükleyin ve gereksiz uygulamaları kaldırın. Bu, SMS/MMS verilerinize izinsiz erişim riski taşıyan uygulamaların etkisini azaltır. SMS tabanlı iki aşamalı doğrulama (MFA) kullanan hizmetleri gözden geçirin ve mümkünse bunları kimlik doğrulama uygulamalarına yönlendirin. Uçtan uca şifreli mesajlaşma uygulamalarını tercih edin, böylece hassas bilgiler SMS üzerinden iletilmez. SMS ile bildirim gönderen servislerde mümkünse uygulama içi bildirimlere geçin, böylece verilerinizin SMS yoluyla sızma ihtimali azalır.
0 Yorumlar