Post #4669

Открытка OnePlus забыли закрыть дыру в OxygenOS, через которую любое приложение может читать SMS без разрешений и уведомлений. Беда в модифицированном Telephony provider, где OnePlus добавили свои content providers без правильных разрешений на запись. Злоумышленники эксплуатируют слепую SQL-инъекцию в ServiceNumberProvider, методично выковыривая SMS-сообщения через булевые запросы. Уязвимость работает через update метод, который пропускает WHERE параметр без валидации прямо в SQLiteDatabase. Rapid7 нашли баг ещё в мае, пытались достучаться до OnePlus пять месяцев, но тем особенно это было не интересно. Пришлось раскрыть CVE публично с готовым эксплойтом. OnePlus очнулись только после публикации и пообещали патч к середине октября. Пока советуют удалить все подозрительные приложения и перейти с SMS-кодов на аутентификаторы. НеКасперский