Una grave vulnerabilità nel sistema OxygenOS dei telefoni OnePlus mette a rischio milioni di utenti. Applicazioni non autorizzate possono leggere i tuoi messaggi SMS, inclusi i codici di sicurezza bancari e le chat private, senza che tu te ne accorga.
La vulnerabilità che spia i tuoi messaggi
Una falla di sicurezza, identificata come CVE-2025-10184 e con un indice di rischio di 8.2 su 10, affligge diversi modelli di smartphone OnePlus. Questa vulnerabilità critica permette a qualsiasi app, anche senza permessi specifici, di accedere e leggere l’intero database dei tuoi messaggi SMS e MMS. Il meccanismo, secondo i ricercatori di sicurezza di Rapid7, sfrutta una debolezza nel sistema che consente attacchi di tipo “SQL injection”, operando in modo completamente silenzioso in background.
Il pericolo più concreto è l’intercettazione dei codici per l’autenticazione a due fattori (2FA). Gli aggressori possono bypassare le protezioni di app bancarie e social network leggendo i tuoi messaggi di verifica. Modelli come OnePlus 8T e OnePlus 10 Pro 5G sono tra i dispositivi confermati come vulnerabili. La falla potrebbe esistere fin dalla versione OxygenOS 12, rilasciata alla fine del 2021.
- Gmail sotto attacco: 2,5 miliardi di utenti a rischio
- Attacchi Hacker in Italia: I Casi Più Recenti e Come Difendersi
- Attacco su vasta scala a Chrome: compromesse 16 estensioni, 600.000 utenti a rischio
L’impennata dei malware via SMS
Il problema di OnePlus si inserisce in un contesto di crescente preoccupazione per la sicurezza mobile. Dati recenti di Malwarebytes hanno evidenziato un’esplosione dei malware veicolati tramite SMS, con un aumento del 692% degli attacchi tra aprile e maggio di quest’anno.
I criminali informatici utilizzano sempre più spesso app “dropper”, mascherate da applicazioni legittime, per installare software malevolo. Una volta attivi, questi malware inoltrano segretamente tutti i messaggi a server remoti, trasformando gli SMS in una vera e propria miniera d’oro per il furto di dati sensibili. Questo scenario dimostra come la sicurezza degli SMS sia diventata un punto nevralgico per la protezione della nostra vita digitale.
Mentre OnePlus non ha ancora rilasciato una patch, Google continua la sua battaglia per la sicurezza di Android. L’ultimo aggiornamento di sicurezza di settembre 2025 ha risolto ben 120 vulnerabilità, evidenziando la costante corsa tra chi protegge i sistemi e chi cerca di violarli.
La situazione attuale richiede massima attenzione da parte degli utenti. È fondamentale verificare le autorizzazioni concesse alle app e valutare alternative più sicure per l’autenticazione a due fattori. Per approfondire le migliori pratiche di sicurezza informatica, puoi consultare risorse autorevoli come il sito del Cybersecurity and Infrastructure Security Agency (CISA).
FAQ – Domande Frequenti
Quali sono i rischi della vulnerabilità OnePlus? Il rischio principale è che app malevole possano leggere tutti i tuoi SMS senza autorizzazione. Questo include conversazioni private, ma soprattutto i codici di sicurezza (OTP) inviati da banche e social media, permettendo ai criminali di accedere ai tuoi account.
Come posso proteggermi da questa falla? Finché OnePlus non rilascerà una patch correttiva, limita l’installazione di app da fonti non ufficiali. Soprattutto, sostituisci l’autenticazione a due fattori via SMS con app dedicate come Google Authenticator o l’uso di chiavi di sicurezza fisiche (hardware).
Questa vulnerabilità riguarda solo i telefoni OnePlus? Attualmente la falla è stata confermata su dispositivi OnePlus con OxygenOS. Tuttavia, poiché il componente difettoso è parte del sistema Android, non si può escludere che anche dispositivi di altri produttori possano essere a rischio in futuro.
Cosa sono i malware “dropper”? Sono applicazioni che appaiono legittime (es. un’app per il meteo o per i servizi bancari) ma che nascondono un codice malevolo. Una volta installate, “scaricano” e attivano il vero e proprio malware sul dispositivo, che può poi spiare dati, rubare password o inoltrare SMS.
