ثغرة أمنية خطيرة في هواتف OnePlus تتيح لتطبيقات خبيثة الوصول إلى الرسائل

كشفت شركة الأمن السيبراني Rapid7 عن وجود ثغرة أمنية شديدة الخطورة في عدد من هواتف OnePlus العاملة بنظام OxygenOS، ما أثار قلقًا واسعًا بين المستخدمين وخبراء التقنية. 

هذه الثغرة التي تم توثيقها بالرمز CVE-2025-10184، تتيح لتطبيقات خبيثة الوصول إلى بيانات الرسائل النصية القصيرة SMS ورسائل الوسائط المتعددة MMS دون الحاجة إلى إذن أو تفاعل مباشر من المستخدم، وهو ما يمثل تهديدًا صريحًا لخصوصية البيانات ووسائل الحماية القائمة على التحقق بخطوتين.

تفاصيل الثغرة

ووفقًا لتقرير Rapid7، فإن المشكلة ليست محصورة بجهاز محدد، بل ترتبط بمكوّن أساسي في نظام التشغيل أندرويد، ما يجعل جميع الأجهزة التي تعمل بإصدارات OxygenOS 12 و14 و15 عرضة للاستهداف. 

الشركة أكدت أنها لم ترصد هذه الثغرة في إصدارات OxygenOS 11، وهو ما يشير إلى أن الخلل أُدخل ابتداءً من الإصدار 12.

وقد أجرت Rapid7 اختبارات ميدانية على عدد من الأجهزة، أبرزها OnePlus 8T وOnePlus 10 Pro 5G، حيث تبين أن المشكلة تظهر في أكثر من إصدار للنظام، وهو ما يرفع احتمالية تأثر هواتف أخرى من الشركة بنفس الخطر. 

الأخطر أن المستخدم لا يتم تنبيهه بأي شكل أثناء محاولة الوصول غير المشروع إلى الرسائل، ما يضاعف من حجم المخاطر ويجعل اكتشاف الاختراق أكثر صعوبة.

استجابة الشركة

من جانبها، تلقت OnePlus إشعارًا رسميًا من Rapid7 حول الثغرة في الأول من مايو 2025، واستمر التواصل بين الطرفين حتى تم الكشف العلني عن تفاصيلها في 23 سبتمبر، وبعد يوم واحد فقط، اعترفت الشركة الصينية بالمشكلة وأعلنت أنها بدأت تحقيقًا عاجلًا فيها بالتعاون مع فريق Oppo.

وفي بيان لاحق لموقع 9to5Google، أكدت OnePlus أنها نجحت بالفعل في تطوير إصلاح لهذه الثغرة، مشيرة إلى أن التحديث الأمني سيتم إطلاقه على مستوى عالمي بدءًا من منتصف أكتوبر المقبل. 

وأكدت الشركة أن حماية بيانات المستخدمين تظل أولوية قصوى، وأنها ستواصل الاستثمار في تحسينات الأمان لتفادي مثل هذه الثغرات مستقبلًا.

خطوات وقائية

ورغم تعهد OnePlus بطرح تحديث عاجل، أوصت Rapid7 المستخدمين المتأثرين بعدد من الإجراءات الاحترازية إلى حين وصول الإصلاح الأمني. 

وشملت هذه التوصيات ضرورة تثبيت التطبيقات من مصادر موثوقة فقط وحذف التطبيقات غير الضرورية لتقليل فرص استغلال الثغرة. 

كما نصحت المستخدمين بتغيير وسائل التحقق بخطوتين المعتمدة على الرسائل النصية، والاعتماد بدلًا من ذلك على تطبيقات المصادقة مثل Google Authenticator أو Authy.

كما شددت الشركة الأمنية على أهمية استخدام تطبيقات تراسل مشفرة بالكامل كبديل عن الرسائل القصيرة للتواصل في الحالات التي تتطلب سرية أكبر. 

وفيما يخص الخدمات التي تعتمد على إرسال إشعارات عبر الرسائل النصية، أوصت Rapid7 بالتحول إلى إشعارات Push داخل التطبيقات متى كان ذلك ممكنًا، للحد من أي محاولات وصول غير مصرح بها إلى الرسائل.

هذه التطورات تضع مستخدمي OnePlus أمام اختبار جديد في ما يتعلق بمدى استعدادهم للتعامل مع التهديدات الأمنية المتكررة التي تستهدف الهواتف الذكية.

 وبينما تبذل الشركات جهودًا مكثفة لإغلاق الثغرات، يظل وعي المستخدم وممارساته الأمنية اليومية خط الدفاع الأول في مواجهة أي هجمات إلكترونية محتملة.