Una vulnerabilità di sicurezza scoperta di recente sui dispositivi OnePlus sta mettendo a rischio la privacy degli utenti italiani e di tutto il mondo, consentendo ad applicazioni dannose di leggere segretamente i messaggi SMS senza alcuna autorizzazione. Il problema, identificato dalla società di cybersicurezza Rapid7, colpisce una vasta gamma di smartphone del produttore cinese e rappresenta una minaccia particolarmente seria per chi utilizza l'autenticazione a due fattori tramite codici SMS. La gravità della situazione è amplificata dal fatto che gli utenti non ricevono alcuna notifica quando le loro conversazioni vengono compromesse.
Un bug che colpisce milioni di dispositivi
La falla di sicurezza, catalogata come CVE-2025-10184, interessa specificamente i dispositivi OnePlus che utilizzano le versioni 12, 14 e 15 di Oxygen OS, il sistema operativo personalizzato dell'azienda basato su Android. I ricercatori hanno testato e confermato la presenza del problema sui modelli OnePlus 8T e OnePlus 10 Pro, ma avvertono che potenzialmente ogni smartphone della gamma potrebbe essere vulnerabile. Una buona notizia arriva per chi possiede dispositivi più datati: i telefoni con Oxygen OS 11 risultano completamente immuni da questa minaccia.
Il meccanismo alla base dell'exploit è particolarmente insidioso perché sfrutta una componente fondamentale del sistema Android. Le app malevole possono così accedere non solo ai messaggi di testo tradizionali, ma anche agli MMS, bypassando completamente i controlli di sicurezza che normalmente richiederebbero il consenso esplicito dell'utente.
Rischi concreti per la sicurezza personale
L'impatto di questa vulnerabilità va ben oltre la semplice violazione della privacy delle conversazioni. I criminali informatici potrebbero sfruttare il bug per intercettare i codici di verifica utilizzati dall'autenticazione a due fattori, una delle misure di sicurezza più diffuse per proteggere account bancari, email e social network. Questo scenario apre le porte a potenziali furti di identità digitale e accessi non autorizzati a servizi sensibili.
Rapid7 ha inizialmente tentato di contattare OnePlus attraverso il programma bug bounty dell'azienda, ma si è scontrata con termini di riservatezza eccessivamente restrittivi che hanno impedito una comunicazione efficace. Di fronte a questa situazione, i ricercatori hanno optato per la divulgazione pubblica della vulnerabilità, una prassi comune nel settore della cybersicurezza quando i canali ufficiali si rivelano inadeguati.
Una patch in arrivo, ma i tempi sono lunghi
OnePlus ha finalmente riconosciuto l'esistenza del problema e ha confermato di aver sviluppato una correzione. Tuttavia, la distribuzione globale dell'aggiornamento di sicurezza inizierà solamente da metà ottobre, lasciando milioni di utenti esposti per diverse settimane. In una dichiarazione rilasciata alla testata 9to5Google, l'azienda ha sottolineato il proprio impegno nella protezione dei dati dei clienti, promettendo di continuare a dare priorità ai miglioramenti della sicurezza.
Nel frattempo, gli esperti consigliano agli utenti di OnePlus di adottare misure precauzionali, evitando in particolare l'installazione di applicazioni provenienti da fonti non verificate o store alternativi. Questa raccomandazione diventa ancora più importante considerando che il vettore di attacco principale rimane rappresentato da app dannose che potrebbero mascherarsi da software legittimo per infiltrarsi nei dispositivi vulnerabili.
