كشفت شركة الأمن السيبراني الرائدة Rapid7 عن ثغرة أمنية حرجة وخطيرة، مُسجلة بالمعرف CVE-2025-10184، تؤثر على مكوّن الرسائل (Telephony provider) ضمن واجهة OxygenOS في هواتف OnePlus، تسمح هذه الثغرة لأي تطبيق مُثبت على الجهاز بالوصول إلى وقراءة محتوى رسائل SMS/MMS، بالإضافة إلى بياناتها الوصفية، دون الحاجة إلى موافقة المستخدم أو تفاعله، والأخطر من ذلك أنها لا تُصدر أي إشعارات تنبيهية تُفيد بوصول هذه التطبيقات إلى رسائله، مما يُشكل تهديدًا كبيرًا لخصوصية المستخدم.
الأسباب الفنية ونطاق التأثر
تكمن جذور هذه الثغرة الأمنية في التعديلات التي أجرتها OnePlus على مزود الرسائل القياسي في نظام أندرويد (com.android.providers.telephony)، حيث قامت بإدخال مزودي محتوى إضافيين، مثل PushMessageProvider وPushShopProvider وServiceNumberProvider، دون تطبيق قيود أذونات مناسبة أو صحيحة، بالإضافة إلى ذلك، كشفت Rapid7 عن وجود نقاط ضعف خطيرة في منطق التحديث، تحديدًا في طرق الـ “update” لهذه المزودات، والمتمثلة في ثغرات حقن SQL العمياء (blind SQL injection)، التي مكنت المهاجمين من تجاوز ضوابط الصلاحيات الأمنية التقليدية للنظام، مما أتاح الوصول غير المصرح به، وقد أظهرت فحوصات Rapid7 أن هذا الخلل يؤثر على إصدارات OxygenOS 12 و14 و15، بينما لم يتأثر إصدار OxygenOS 11 بهذا الخلل حسب التحقيقات.
الأجهزة المعرضة للخطر وجهود التنسيق
أجرى الباحثون اختبارات عملية لاستغلال هذه الثغرة على أجهزة محددة مثل OnePlus 8T وOnePlus 10 Pro، ومع ذلك، فقد حذروا من أن المشكلة نظامية بطبيعتها، ومن المتوقع أن تؤثر على مجموعة واسعة من طرازات OnePlus التي تعمل بالإصدارات المتأثرة من OxygenOS، وتجدر الإشارة إلى أن Rapid7 سعت جاهدة للتنسيق سرًا مع OnePlus لتبليغها بالثغرة قبل الكشف عنها علنًا، ولكن بسبب تأخر الاستجابة من الشركة، اضطرت Rapid7 إلى نشر تفاصيل الثغرة ونموذج إثبات المفهوم (PoC) لحث OnePlus على اتخاذ إجراءات سريعة ومعالجة المشكلة.
استجابة OnePlus وخطة الإصلاح
عقب الكشف العام عن الثغرة، أقرت شركة OnePlus بوجودها، وأصدرت بيانًا أكدت فيه أنها “نفّذت إصلاحًا” للمشكلة، ووعدت بأن التحديث التصحيحي الشامل سيُطرح عالميًا كجزء من تحديث برمجي، مع تحديد موعد بدء الطرح في منتصف أكتوبر 2025، وهذا يعني أن الأجهزة المتأثرة ستظل عرضة للاستغلال المحتمل لهذه الثغرة الأمنية حتى تاريخ وصول هذا التحديث، وذلك في حال وجود أي تطبيق خبيث مثبت عليها.
المخاطر العملية والتوصيات الأمنية الفورية
تتمثل المخاطر العملية لهذه الثغرة في عدة جوانب خطيرة، منها فقدان سرية رموز المصادقة الثنائية (2FA) المرسلة عبر رسائل SMS، وإمكانية سرقة سجلات المحادثات الشخصية، بالإضافة إلى احتمالية إرسال رسائل ضارة أو احتيالية باسم المستخدم دون علمه، مما قد يؤدي في نهاية المطاف إلى اختراق حسابات المستخدمين المالية أو الوصول إلى خدماتهم الحساسة، وبالتالي تهديد أمنهم الرقمي وخصوصيتهم.
تقدم جهات الأمن والغطاء الصحفي توصيات عاجلة لتبني إجراءات وقائية مؤقتة للتخفيف من هذه المخاطر، وتشمل هذه التوصيات ما يلي:
- إزالة التطبيقات غير الضرورية أو المشبوهة من الجهاز على الفور.
- تثبيت البرمجيات والتطبيقات فقط من المتاجر الرسمية والموثوقة.
- استبدال المصادقة الثنائية القائمة على SMS بتطبيقات المصادقة المخصصة أو مفاتيح الأمان المادية (مثل FIDO2/WebAuthn) للحصول على أمان أفضل.
- مراجعة نشاط الحسابات الحساسة بانتظام، مثل الحسابات المصرفية وحسابات البريد الإلكتروني، حتى يتم إصدار التحديث الأمني من OnePlus.
ماذا يعني هذا لمستخدمي OnePlus؟
في جوهر الأمر، يُمثل هذا الخلل انتهاكًا صارخًا لخصوصية رسائل SMS على الأجهزة المتأثرة، وسيستمر هذا الوضع حتى تقوم الشركة بتصحيح الكود البرمجي المُعدّل، وعلى الرغم من إعلان OnePlus عن خطة زمنية لإصدار التحديث الأمني، إلا أن الفترة الممتدة حتى منتصف أكتوبر 2025 تُشكل نافذة زمنية طويلة ومقلقة تظل فيها الأجهزة معرضة للاستغلال، لذلك، تُعدّ اليقظة والحيطة الشديدة، والتقيّد الصارم في تثبيت التطبيقات، واعتماد طرق بديلة وأكثر أمانًا للمصادقة، هي أفضل استراتيجيات الحماية المتاحة للمستخدمين في الوقت الراهن للحفاظ على أمنهم وخصوصيتهم.