OxygenOS Reddedilen Güvenlik ve Veri Koruma Sorunları
Son dönemde yapılan bir araştırma, OnePlus‘ın Android tabanlı işletim sistemi OxygenOS‘ta bulunan ciddi bir güvenlik açığını gün yüzüne çıkardı. Bu açık, kullanıcıların izin vermeden herhangi bir yüklü uygulamanın SMS verilerine ve meta verilerine erişmesine olanak tanıyor. CVE-2025-10184 olarak adlandırılan bu güvenlik açığı, Rapid7 araştırmacıları tarafından keşfedildi ve şu anda yamanmamış durumda. OnePlus, bu konuda yapılan açıklamalar karşısında sessizliğini korurken, Rapid7 teknik detayları ve bir kanıt konsepti (PoC) içeren exploitini paylaştı.
Sorunun Kaynağı
Olayın kökeni, OnePlus’ın varsayılan Android telekom paketi üzerinde yaptığı değişikliklerde yatıyor. PushMessageProvider, PushShopProvider ve ServiceNumberProvider gibi ek dışa aktarılan içerik sağlayıcılar eklenmiş. Bu sağlayıcıların manifestinde ‘READ_SMS’ yazma izni tanımlanmadığı için, bu izin gerektirmeden her uygulamanın erişimine açık hale gelmiş. Böylece, SMS izni olmayan uygulamalar bile bu verilere ulaşabiliyor.
Bu noktada şunu belirtmek gerekiyor; kullanıcıdan alınmayan girdi verileri sanitizasyon edilmediği için “blind SQL injection” saldırıları gerçekleşebilir. Bu tür saldırılarda, SMS içeriği cihaz veritabanından tek bir harf olarak yeniden oluşturulabiliyor.
Rapid7’nin raporuna göre, okuma izinleri doğru bir şekilde ayarlanmış olsa da, yazma izinleri açık bırakıldığı için, SMS içeriğinin tahmin edilebilmesi mümkün hale geliyor. Bunun için belirli koşulların yerine getirilmesi gerekiyor:
- Açık bir tablo, en az bir satıra sahip olmalı.
- Sağlayıcı, bir dummy satırı oluşturulmasına izin vermeli.
- SMS tablosu, enjekte edilen alt sorgunun bu tabloyu referans alabilmesi için aynı SQLite veritabanı dosyasında bulunmalı.
Etki ve Yanıt
Bu sorun, OxygenOS’un 12’den en son sürüm 15’e kadar tüm versiyonlarını etkiliyor. Rapid7 araştırmacıları, OnePlus 8T ve 10 Pro ile yaptıkları testlerde bu açığın varlığını doğruladı ve bunun cihazla ilgili bir sorun olmadığına dikkat çekti. Ayrıca, araştırmacılar OnePlus ile iletişime geçmeye çalıştılar ancak OnePlus bu iletişimlere yanıt vermedi.
Araştırmacıların 1 Mayıs’ta başlattığı ve 16 Ağustos’a kadar süren iletişim çabaları sonucunda, CVE-2025-10184 ile ilgili detaylar kamuoyuyla paylaşıldı. Rapid7 bunun ardından yapılan bir açıklamayla OnePlus, bu güvenlik açığının araştırıldığını duyurdu.
Şu an için, OnePlus cihazınızı kullanırken dikkat edilmesi gereken bazı önlemler bulunmaktadır. Öncelikle, yüklü uygulama sayısını minimumda tutmak ve yalnızca güvenilir geliştiricilerden uygulama indirmek önemli. Ayrıca, SMS tabanlı iki aşamalı kimlik doğrulama yerine Google Authenticator gibi OTP uygulamalarını kullanmak önerilmektedir.
Kişisel Veri Güvenliği İçin Öneriler
OxygenOS’un mevcut güvenlik açığı sebebiyle, kullanıcıların kişisel bilgilerini korumak için çeşitli önlemler alması gerekiyor. SMS ile gerçekleştirilen iletişimler, uçtan uca şifreli uygulamalarda yapılmalıdır. Bu sayede, hassas bilgilerinizin güvenli bir şekilde korunması mümkün olacaktır.
Aynı zamanda, OnePlus kullanıcılarının cihazlarını satmadan önce SMS ve diğer kişisel verilerini silmeleri önerilmektedir. Bu, cihazın bir başkası tarafından kötüye kullanılmasını engelleyecektir.
Bu tür güvenlik açıkları, günümüzde mobil cihazların ne kadar hassas birer veri kaynağı olduğunu bir kez daha gözler önüne seriyor. Siber güvenlik, kullanıcılar ve üreticiler açısından her zamankinden daha fazla önem taşıyor. Bu durum, yazılım güncellemelerinin düzenli yapılmasının ve güvenlik açıklarının hızla kapatılmasının önemini de unutturmamalıdır.
Bu sürecin tüm kullanıcılar için zorlayıcı olabileceği göz önünde bulundurularak, herkesin güvenlik konusundaki farkındalığını artırması ve bu tür durumlarda dikkatli olması büyük önem taşımaktadır. Kullanıcıların kayıplarını en aza indirgeyebilmesi için, hem yazılım hem de donanım olarak güçlü bir güvenlik altyapısına sahip olmaları gerekmektedir.
