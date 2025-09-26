Attivo nel mondo dell’editoria sin dal 2011, giornalista dal 2019, ha lavorato per il web e per la carta stampata occupandosi di musica, cultura, lifestyle e tecnologia.

In Sintesi

Rapid7 ha scoperto una vulnerabilità nell’interfaccia OxygenOS di OnePlus che consente alle app installate di leggere i dati degli SMS/MMS.

Questa falla rappresenta un rischio serio, in quanto potrebbe permettere l’accesso ai codici di verifica per l’autenticazione a due fattori.

Ogni aggiornamento di Android non porta solo nuove funzionalità accattivanti o interfacce aggiornate, ma si concentra anche sulla sicurezza e la stabilità del sistema. Questo fa in modo che gli smartphone (e tutto ciò che contengono) siano al sicuro da eventuali minacce informatiche esterne.

Tuttavia, nessun software è sicuro al 100% e spesso anche i sistemi più sofisticati possono presentare delle vulnerabilità che, se non identificate per tempo, rischiano di compromettere l’esperienza dell’utente e l’integrità del sistema stesso. E questo è proprio quello che è successo a OnePlus, il celebre brand cinese produttore di smartphone e tablet, che in questi giorni si è trovato a fronteggiare una pericolosa falla dell’interfaccia di sistema OxygenOS.

Che sappiamo della vulnerabilità di sistema di OxygenOS

A trovare il problema nell’interfaccia utente di OnePlus è stata la società di cybersicurezza Rapid7 che ha individuato una vulnerabilità di bypass dei permessi in diverse versioni di OxygenOS.

Dall’analisi emerge che questa falla consente a qualsiasi applicazione installata sul dispositivo di leggere dati e metadati degli SMS/MMS provenienti dal provider di sistema, senza richiedere autorizzazioni esplicite da parte dell’utente né alcuna interazione.

In pratica, un’eventuale app malevola potrebbe accedere in background a informazioni sensibili senza che il proprietario del device se ne accorga.

Il vero problema, però, non sta nei messaggi privati, quanto alla possibilità di accedere a quelli che contengono codici di verifica per l’autenticazione a due fattori che, nel peggiore degli scenari, potrebbe portare gli hacker a compromettere l’accesso ad account personali, bancari o aziendali.

Cosa sta facendo OnePlus per risolvere il problema?

Un’ulteriore criticità riguarda la gestione della segnalazione da parte di OnePlus. Nonostante Rapid7 abbia tentato più volte di contattare l’azienda produttrice non ha mai ricevuto risposte immediate, non riuscendo nemmeno a partecipare al programma di bug bounty del produttore.

Poco dopo, la vulnerabilità è stata divulgata pubblicamente e solo a questo punto, OnePlus si è messa in contatto con Rapid7 nel tentativo di trovare una soluzione al problema ma, al momento, non ci sono indicazioni sull’eventuale rilascio di una patch correttiva.

Infine, non è ancora del tutto chiaro in quali circostanze e con quali tecniche precise questa falla di sistema possa essere sfruttata dagli hacker, cosa rende la valutazione del rischio ancora più complessa.

Gli utenti in possesso di uno smartphone o un tablet OnePlus, dunque, non possono fare altro che attendere l’arrivo di un aggiornamento di sicurezza ufficiale. Nel frattempo, è di vitale importanza prestare la massima attenzione alle applicazioni installate, limitandosi a quelle provenienti da fonti affidabili e monitorando eventuali comportamenti anomali del dispositivo.