:quality(75)/estore-v2/img/fptshop-logo.png){kind=logo}
:quality(75)/oneplus_canh_bao_lo_hong_bao_mat_nghiem_trong_tren_oxygenos_12_14_va_15_46b7009d7c.jpg)
:quality(75)/hieu_f30c0d359a.jpg){kind=small}
OnePlus cảnh báo lỗ hổng bảo mật nghiêm trọng trên OxygenOS 12, 14 và 15
Người dùng các thiết bị OnePlus đang chạy OxygenOS 12, 14 hoặc 15 cần đặc biệt cảnh giác sau khi công ty an ninh mạng Rapid7 phát hiện một lỗ hổng nghiêm trọng mang mã định danh CVE-2025-10184.
Vấn đề này cho phép ứng dụng độc hại có thể âm thầm truy cập dữ liệu SMS và MMS mà không cần quyền cấp phép, tương tác hay thông báo nào gửi tới người dùng.
Mức độ nguy hiểm của lỗ hổng
Theo phân tích, lỗ hổng này có thể dẫn đến nguy cơ đánh cắp dữ liệu tin nhắn mà người dùng không hề hay biết. Đáng chú ý hơn, nó còn có thể vô hiệu hóa lớp bảo mật SMS-based MFA, vốn thường được sử dụng để bảo vệ tài khoản ngân hàng, mạng xã hội hoặc email. Điều này khiến người dùng rơi vào tình trạng rủi ro cao trước các cuộc tấn công chiếm quyền kiểm soát tài khoản.
Rapid7 khẳng định lỗ hổng tồn tại trên nhiều dòng máy, không chỉ giới hạn ở OnePlus 8T hay OnePlus 10 Pro 5G. Kiểm chứng thực tế cho thấy lỗ hổng bắt đầu xuất hiện từ OxygenOS 12, trong khi các thiết bị sử dụng OxygenOS 11 hoàn toàn không bị ảnh hưởng.
Trong báo cáo, Rapid7 liệt kê chi tiết những thiết bị và phiên bản hệ điều hành có chứa lỗ hổng, bao gồm OnePlus 8T (KB2003) với OxygenOS 12 bản KB2003_11_C.33 và OnePlus 10 Pro 5G (NE2213) với OxygenOS 14 bản 14.0.0.700(EX01) cùng OxygenOS 15 với các bản 15.0.0.502(EX01), 15.0.0.700(EX01) và 15.0.0.901(EX01).
Rapid7 cho biết đã liên hệ với OnePlus từ ngày 1 tháng 5 năm 2025, nhưng không nhận được phản hồi rõ ràng cho đến tận cuối tháng 9. Sau khi báo cáo được công khai vào ngày 23 tháng 9, OnePlus đã xác nhận sự tồn tại của lỗ hổng và cho biết bản vá đã được phát triển. Hãng dự kiến sẽ tung ra bản cập nhật vá lỗi toàn cầu bắt đầu từ giữa tháng 10 năm 2025.
Trước khi bản vá chính thức phát hành, Rapid7 khuyến nghị người dùng chỉ nên cài đặt ứng dụng từ các nguồn đáng tin cậy và gỡ bỏ những ứng dụng không cần thiết. Đồng thời, nên thay thế phương thức xác thực qua SMS bằng ứng dụng Authenticator để tăng cường an toàn bảo mật. Người dùng cũng được khuyên sử dụng ứng dụng nhắn tin có mã hóa đầu cuối thay cho SMS truyền thống và nếu dịch vụ hỗ trợ, hãy chuyển từ thông báo SMS sang push notification trong ứng dụng.
Xem thêm:
- HONOR Magic8 lộ điểm mạnh mẽ trên AnTuTu, vượt Xiaomi 17 Pro
- Pixel Buds Pro 2 nhận bản cập nhật mới: Adaptive Audio và Gemini Live tốt hơn
Nguồn: GSMArena
