OnePlus akıllı telefonlarda kritik SMS güvenlik açığı tespit edildi. Çok sayıda modeli kapsayan bu açık, Ekim ayının ortasında yayınlanacak bir yazılım güncellemesi ile kapatılacak.
Adını üst seviye performans gösteren, nispeten daha uygun fiyatlı akıllı telefonlarla Dünyanın her yerinde duyurmayı başaran OnePlus, şimdi çok sayıda cihazı etkileyen önemli bir güvenlik sorunuyla karşı karşıya. Markanın kendi tasarladığı kullanıcı ara birimi olan OxygenOS’ın 12, 14 ve 15 sürümlerini çalıştıran bir OnePlus akıllı telefon kullanıyorsanız, cihazınıza yükleyeceğiniz uygulamalara karşı bir süreliğine dikkatli olmanızı öneriyoruz.
OnePlus Akıllı Telefonlarda Kritik SMS Güvenlik Açığı, Çok Sayıda Cihaz Tehlike Altında
Bu haftanın başlarında bir siber güvenlik şirketi olan Rapid7, yukarıda sözü geçen OxygenOS arayüz sürümlerini kapsayan önemli bir güvenlik sorunu tespit etti. Bu sorun, kötü amaçlı bir uygulamanın, kullanıcıdan onay almaksızın onun SMS/MMS verilerine erişebilmesini sağlıyor.
Güvenlik açığına dair yapılan duyuruda, kullanıcı etkileşimi olmadan da herhangi bir uygulamanın, kişiye ait kısa mesaj ve multimedya mesajlara ulaşabileceği ifade ediliyor. İşin en kötü kısmı, harici bir uygulamanın telefondaki SMS/MMS’lere eriştiği konusunda cihaz sahibi, hiçbir şekilde bilgilendirilmiyor.
Yani sizin haberiniz olmadan, belki de çok sevdiğiniz bir mobil uygulama, kısa mesajlarınızı okuyor olabilir. Bu durum, SMS aracılığıyla iki faktörlü kimlik doğrulama (MFA) yapan başta bankacılık olmak üzere çok sayıda uygulama kullanıcısı için kötü bir haber, zira açık sayesinde telefonunuza iletilen güvenlik kodları da, kötü niyetli kişiler tarafından görülebiliyor. Bu bilgiler, dolandırıcı veya kötü niyetli bilgisayar korsanlarının banka hesaplarınıza ulaşmasını ve sizmiş gibi işlem yapmasını kolaylaştırabilir.
Rapid7, açıktan etkilenen OnePlus akıllı telefonları ve OxygenOS yazılım sürümlerini içeren ayrıntılı bir bilgi tablosu da paylaştı. Aşağıdaki listeden, sahip olduğunuz OnePlus akıllı telefonun bu güvenlik ihlalinden etkilenip etkilenmediğini görebilirsiniz.
| Cihaz / Model | Paket sürümü | OxygenOS Sürümü | Yapı Numarası |
|---|---|---|---|
| OnePlus 8T / KB2003 | 3.4.135 | 12 | KB2003_11_C.33 |
| OnePlus 10 Pro 5G / NE2213 | 14.10.30 | 14 | NE2213_14.0.0.700(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.30.5 | 15 | NE2213_15.0.0.502(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.30.10 | 15 | NE2213_15.0.0.700(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.40.0 | 15 | NE2213_15.0.0.901(EX01) |
Siber güvenlik firması, CVE-2025-10184 olarak izlenen bu açığın, test ettikleri OxygenOS 11 sürümlerinin bu açıktan etkilenmemesinden ötürü, OxygenOS 12 sürümünün bir parçası olduğunu belirtti. Rapid7’ye göre sorunun cihaz donanımlarıyla bir ilgisi yok, tamamen yazılımsal.
Ancak Android’in temel bir bileşenini etkilemesi ve Oxygen OS’ın 12, 14 ve 15 sürümlerini çalıştıran OnePlus 8T veya OnePlus 10 Pro 5G dışındaki OnePlus akıllı telefonların bu açığa karşı savunmasız olmasından dolayı, söz konusu SMS güvenlik açığının potansiyel etkisinin, tahmin edilenden çok daha büyük olabileceğine inanılıyor.
*OnePlus Akıllı Telefonlarda Kritik SMS Güvenlik Açığı, Önümüzdeki Ay Kapatılacak!
Rapid7, bu güvenlik açığını bildirmek üzere ilk olarak, 1 Mayıs 2025 tarihinde OnePlus ile iletişime geçmiş. O tarihten, güvenlik açığının kamuoyu ile paylaşıldığı 23 Eylül tarihine kadar OnePlus ve Oppo ile tam 6 kez görüşme gerçekleştirilmiş. Kısa süre sonra OnePlus, Rapid7’ye yanıt vererek ilgili SMS açığını kabul ettiklerini ve konuyu araştırdıklarını söylemiş.
Çinli akıllı telefon üreticisi OnePlus, Rapid7’ye sorunu nasıl çözeceklerine ilişkin herhangi bir ayrıntı vermekten kaçındı fakat, kısa bir süre sonra 9to5Google’a, konuyla ilgili bir açıklamada bulundu. Firma sözcüsü, açıklamasında şu ifadeleri kullandı: “CVE-2025-10184’ün yakın zamanda açıklandığını kabul ediyoruz ve bir düzeltme uyguladık. Bu düzeltme, Ekim ortasından itibaren bir yazılım güncellemesiyle küresel olarak yayınlanacak. OnePlus, müşteri verilerini korumaya kararlı ve güvenlik iyileştirmelerine öncelik vermeye devam edecek.”
Peki sorundan etkilenen bir OnePlus akıllı telefon sahibiyseniz, Ekim ayı ortasına kadar ne yapmalısınız? Rapid7 yetkilileri, etkilenen OnePlus cihazlarını kullananlara şu adımları atmalarını tavsiye etti:
• Yalnızca güvenilir kaynaklardan uygulama yükleyin ve gerekli olmayan tüm uygulamaları kaldırın. Bu, SMS/MMS verilerini okumak için bu izin atlama özelliğini kullanabilecek güvenilmeyen uygulamalara maruz kalmanızı sınırlayacaktır.
• Hangi üçüncü taraf hizmetlerinin SMS tabanlı çok faktörlü kimlik doğrulama (MFA) kullandığını inceleyin ve bu hizmetleri bir kimlik doğrulama uygulaması kullanacak şekilde değiştirin. Bu, hassas bilgilerin cihazınıza SMS yoluyla gönderilmesini sınırlayacaktır.
• Metin mesajlarının gizliliğini artırmak için kullanıcılar, SMS tabanlı iletişim yerine uçtan uca şifreli mesajlaşma uygulamalarını kullanabilirler. Bu, hassas bilgilerin SMS yoluyla cihazınıza gönderilmesini sınırlayacaktır.
• SMS tabanlı bildirimler gönderen üçüncü taraf hizmetler için, uygulama içi anlık bildirimlere geçiş yapmak mümkün olabilir. Bu, hassas bilgilerin SMS yoluyla cihazınıza gönderilmesini sınırlayacaktır.
Konuyla ilgili daha fazla ayrıntı için, Rapid7 tarafından yapılan açıklamanın tamamına bu bağlantıdan ulaşabilirsiniz. OnePlus akıllı telefonlarda kritik SMS güvenlik açığı, peki siz bu konu hakkında ne düşünüyorsunuz? Fikirlerinizi yorumlara bekliyoruz.
