OnePlus 15’in çıkışına çok az zaman kalmışken, şirket şu sıralar çok daha kritik bir sorunla uğraşıyor. OnePlus akıllı telefonlarda keşfedilen büyük bir SMS güvenlik açığı, kullanıcıların mesajlarının üçüncü taraf uygulamalar tarafından izinsiz erişimine yol açıyor. Neyse ki şirket, bu açığı kapatacak güncellemeyi kısa süre içinde yayınlayacağını açıkladı.
Güvenlik Açığının Detayları
Siber güvenlik firması Rapid7, yaptığı araştırmada “izin atlatma” olarak adlandırılan bir açığı ortaya çıkardı. Bu açık, OxygenOS 12 ile başlayan sürümlerden itibaren OnePlus 8T ve daha yeni cihazlarda görülüyor. Normalde Android’in varsayılan telephony paketi kullanıcı verilerini koruyacak şekilde tasarlanmış olsa da, OnePlus bu paketi kendi ek hizmetleri için değiştirmiş. Bu değişiklikler sonucunda ortaya çıkan boşluk, herhangi bir yüklü uygulamanın SMS ve MMS verilerine, hatta meta verilerine bile izin, kullanıcı etkileşimi veya onay gerekmeksizin erişebilmesine neden oluyor.
Dahası, kullanıcıların bu şekilde verilerine erişilip erişilmediğini anlamasının da bir yolu yok. Bu da açığın ciddiyetini daha da artırıyor.
Oneplus’ın Geç Yanıtı
Rapid7, OnePlus’a bu açığı kamuya duyurmadan aylar önce ulaşmaya çalıştı. Ancak şirket uzun süre herhangi bir yanıt vermedi. Güvenlik açığı, CVE-2025-10184 koduyla bu hafta başında kamuya açıklanınca, OnePlus ancak iki gün sonra konuyu kabul etti.
Şirketin 9to5Google’a yaptığı resmi açıklamada şu ifadelere yer verildi:
“CVE-2025-10184 kodlu güvenlik açığının farkındayız ve bir düzeltme hazırladık. Bu düzeltme, Ekim ortasından itibaren yazılım güncellemesi yoluyla küresel çapta yayınlanacak. OnePlus, müşteri verilerini korumaya kararlı ve güvenlik iyileştirmelerini önceliklendirmeye devam edecek.”
Açığın Kaynağı: Telephony Paketi Değişiklikleri
OnePlus’ın bu açığa nasıl sebep olduğuna bakıldığında, işin kökeni Android 12 dönemine uzanıyor. OxygenOS 11’de böyle bir sorun yoktu. Şirket, telephony uygulamasına üç yeni sağlayıcı ekledi:
- com.android.providers.telephony.PushMessageProvider
- com.android.providers.telephony.PushShopProvider
- com.android.providers.telephony.ServiceNumberProvider
Bu eklemeler tek başına problem yaratmıyor. Ancak telephony paketi, cihazda depolanan mesajlara okuma ve yazma erişimi sağlayabilecek hassas bir bileşen. OnePlus, okuma izinlerini eklese de yazma izinlerini tanımlamada eksik davrandı. Rapid7’nin açıklamasına göre bu hata, istemci uygulamaların yazma operasyonlarını çalıştırabilmesine yol açıyor. Yani kötü niyetli bir uygulama, SMS verilerine erişebilir ve onları değiştirme potansiyeline sahip olabilir.
Kullanıcıların Karşılaşabilecekleri Riskler
Bu güvenlik açığı, özellikle OTP (tek seferlik şifre) içeren SMS’leri kullanan kullanıcılar için riskli. Örneğin iki faktörlü doğrulama (2FA) kodlarını SMS üzerinden almak, saldırganların bu kodları ele geçirmesini kolaylaştırabilir. Bu durum hesap güvenliği açısından ciddi bir tehdit anlamına geliyor.
Ayrıca kullanıcıların bu saldırıyı fark etme şansı bulunmadığı için, riskler tamamen görünmez hale geliyor. Bu da söz konusu açığın “kritik” seviyede değerlendirilmesine neden oluyor.
Oneplus Kullanıcıları Ne Yapmalı?
Şirket güncellemeyi Ekim ortasında yayınlamayı planlasa da, o zamana kadar OnePlus kullanıcılarının dikkatli olması gerekiyor. Rapid7’nin önerileri şu şekilde:
- Sadece güvenilir kaynaklardan uygulama indirin.
- Kullanmadığınız, gereksiz uygulamaları cihazınızdan kaldırın.
- 2FA kodlarını SMS üzerinden almak yerine kimlik doğrulama uygulamaları kullanın.
- Mümkünse güvenlik açısından daha güvenilir üçüncü taraf sohbet uygulamalarına yönelin.
Bu adımlar, yamadan önce risklerinizi azaltmanıza yardımcı olabilir.
Sonuç: Yamalar Yolda Ama Dikkatli Olmak Şart
OnePlus, bu açığı geç kabul etmiş olsa da, küresel çapta bir yazılım güncellemesi hazırladığını duyurmuş durumda. Ancak güncellemenin kullanıcı cihazlarına ulaşması zaman alabilir. Bu nedenle OnePlus sahiplerinin şimdiden güvenlik alışkanlıklarını gözden geçirmesi, veri güvenlikleri açısından kritik önem taşıyor.
OnePlus 15’in çıkışı öncesinde yaşanan bu güvenlik skandalı, şirketin yazılım tarafındaki güvenlik testlerini daha da sıkılaştırması gerektiğini bir kez daha gözler önüne seriyor. Kullanıcı verilerini korumak, yalnızca cihaz performansı ve tasarımı kadar önemli hale gelmiş durumda.
Bununla birlikte, bu olay siber güvenliğin akıllı telefon dünyasında giderek ön plana çıktığını hatırlatıyor. Artık kullanıcıların yalnızca donanım gücüne değil, aynı zamanda cihazlarının güncel yazılım desteğine ve güvenlik yamalarına da dikkat etmesi gerekiyor. Özellikle SMS gibi hassas verilerin risk altında olduğu durumlarda, doğrulama yöntemlerini değiştirmek, şüpheli uygulamalardan uzak durmak ve yalnızca güvenilir kaynaklardan uygulama indirmek büyük önem taşıyor.
OnePlus’ın bu süreçten çıkaracağı ders, gelecek modellerinde daha güçlü güvenlik protokolleri uygulaması olabilir. Aksi takdirde, kullanıcı güveni zedelenebilir ve marka algısı ciddi şekilde zarar görebilir.
