Nguyễn Xuân Chính
Pearl
Một lỗ hổng bảo mật đáng báo động vừa được phát hiện trên hầu hết các dòng điện thoại thông minh OnePlus, khiến dữ liệu tin nhắn cá nhân (SMS và MMS) của người dùng đứng trước nguy cơ bị đánh cắp. Điều đáng nói là các thiết bị bị ảnh hưởng sẽ phải chờ đợi đến tận giữa tháng Mười mới có thể nhận được bản vá lỗi chính thức từ nhà sản xuất.
Theo báo cáo chi tiết ban đầu từ Rapid7, một công ty an ninh mạng hàng đầu, sự cố bảo mật này bắt nguồn từ những thay đổi mà OnePlus đã thực hiện trong dịch vụ điện thoại thuộc lõi hệ điều hành Android. Về bản chất, lỗ hổng cho phép các ứng dụng đã được cài đặt có thể âm thầm truy cập và đọc lén toàn bộ dữ liệu tin nhắn SMS/MMS mà không cần bất kỳ sự cấp phép, tương tác hay đồng thuận nào từ chủ sở hữu thiết bị.
Dù quá trình kiểm tra thực tế mới chỉ được tiến hành trên hai mẫu là OnePlus 8T và 10 Pro 5G, Rapid7 tin rằng đây là lỗi ảnh hưởng đến một thành phần cốt lõi của Android, do đó, gần như chắc chắn nó không chỉ giới hạn ở một vài dòng máy cụ thể mà có thể ảnh hưởng đến hàng triệu thiết bị đang lưu hành trên thị trường. Điều này đặt ra một mối lo ngại lớn về quyền riêng tư dữ liệu trên phạm vi toàn cầu.
Trong tuyên bố chính thức được gửi tới truyền thông, người phát ngôn của OnePlus cho biết: "Chúng tôi xác nhận việc phát hiện lỗ hổng CVE-2025-10184 và đã triển khai một bản sửa lỗi. Bản vá này sẽ được tung ra toàn cầu thông qua cập nhật phần mềm, dự kiến bắt đầu từ giữa tháng Mười. OnePlus cam kết bảo vệ dữ liệu khách hàng và sẽ tiếp tục ưu tiên các cải tiến về bảo mật."
Quá trình công bố lỗ hổng này cũng làm dấy lên những tranh cãi về quy trình xử lý nội bộ của OnePlus. Rapid7 cho biết họ đã cố gắng liên hệ riêng với nhà sản xuất để tuân thủ quy tắc công bố có trách nhiệm nhưng đã không nhận được phản hồi thỏa đáng. Thậm chí, công ty bảo mật đã loại trừ việc báo cáo qua chương trình tìm lỗi nhận thưởng (bug bounty program) vì cho rằng Thỏa thuận không tiết lộ thông tin (NDA) của chương trình này quá hạn chế. Chỉ sau khi các nỗ lực liên lạc riêng tư thất bại, Rapid7 mới buộc phải công khai thông tin chi tiết trên blog của mình.
Theo báo cáo chi tiết ban đầu từ Rapid7, một công ty an ninh mạng hàng đầu, sự cố bảo mật này bắt nguồn từ những thay đổi mà OnePlus đã thực hiện trong dịch vụ điện thoại thuộc lõi hệ điều hành Android. Về bản chất, lỗ hổng cho phép các ứng dụng đã được cài đặt có thể âm thầm truy cập và đọc lén toàn bộ dữ liệu tin nhắn SMS/MMS mà không cần bất kỳ sự cấp phép, tương tác hay đồng thuận nào từ chủ sở hữu thiết bị.
Ảnh hưởng rộng khắp: Từ OxygenOS 12 đến 15 đều dính lỗi
Phát hiện này đặc biệt nghiêm trọng bởi nó được xác định tồn tại trên nhiều phiên bản hệ điều hành gần đây của OnePlus, bao gồm OxygenOS 12, 14 và 15. Các chuyên gia bảo mật của Rapid7 nhận định, chỉ những chiếc điện thoại OnePlus vẫn đang chạy phiên bản OxygenOS 11 (dựa trên Android 11) từ năm 2020 trở về trước mới có khả năng an toàn khỏi rủi ro này.Dù quá trình kiểm tra thực tế mới chỉ được tiến hành trên hai mẫu là OnePlus 8T và 10 Pro 5G, Rapid7 tin rằng đây là lỗi ảnh hưởng đến một thành phần cốt lõi của Android, do đó, gần như chắc chắn nó không chỉ giới hạn ở một vài dòng máy cụ thể mà có thể ảnh hưởng đến hàng triệu thiết bị đang lưu hành trên thị trường. Điều này đặt ra một mối lo ngại lớn về quyền riêng tư dữ liệu trên phạm vi toàn cầu.
OnePlus xác nhận và hứa hẹn một bản vá lỗi vào tháng Mười này
Sau khi thông tin về lỗ hổng có mã định danh CVE-2025-10184 được Rapid7 công khai, đại diện giấu tên của OnePlus đã lên tiếng xác nhận về sự tồn tại của sự cố. Tuy nhiên, hãng điện thoại Trung Quốc này cũng đưa ra thông báo gây thất vọng: bản vá (patch) khắc phục lỗi sẽ không thể được tung ra thị trường trước giữa tháng Mười.Trong tuyên bố chính thức được gửi tới truyền thông, người phát ngôn của OnePlus cho biết: "Chúng tôi xác nhận việc phát hiện lỗ hổng CVE-2025-10184 và đã triển khai một bản sửa lỗi. Bản vá này sẽ được tung ra toàn cầu thông qua cập nhật phần mềm, dự kiến bắt đầu từ giữa tháng Mười. OnePlus cam kết bảo vệ dữ liệu khách hàng và sẽ tiếp tục ưu tiên các cải tiến về bảo mật."
Quá trình công bố lỗ hổng này cũng làm dấy lên những tranh cãi về quy trình xử lý nội bộ của OnePlus. Rapid7 cho biết họ đã cố gắng liên hệ riêng với nhà sản xuất để tuân thủ quy tắc công bố có trách nhiệm nhưng đã không nhận được phản hồi thỏa đáng. Thậm chí, công ty bảo mật đã loại trừ việc báo cáo qua chương trình tìm lỗi nhận thưởng (bug bounty program) vì cho rằng Thỏa thuận không tiết lộ thông tin (NDA) của chương trình này quá hạn chế. Chỉ sau khi các nỗ lực liên lạc riêng tư thất bại, Rapid7 mới buộc phải công khai thông tin chi tiết trên blog của mình.
Khuyến nghị: Người dùng cần tự bảo vệ trước khi bản vá ra mắt
Trong thời gian chờ đợi bản cập nhật dự kiến vào giữa tháng Mười, Rapid7 đã đưa ra một số khuyến nghị quan trọng nhằm giảm thiểu rủi ro cho cộng đồng người dùng OnePlus. Các biện pháp này tập trung vào việc ngăn chặn các ứng dụng độc hại khai thác lỗ hổng để truy cập vào dữ liệu nhạy cảm:- Cài đặt ứng dụng có chọn lọc: Người dùng được khuyên chỉ cài đặt các ứng dụng từ các nguồn đáng tin cậy như Google Play Store và nên gỡ bỏ ngay lập tức các ứng dụng không cần thiết hoặc ít sử dụng để loại trừ nguy cơ phần mềm độc hại.
- Sử dụng ứng dụng nhắn tin mã hóa: Chuyển sang các ứng dụng nhắn tin cung cấp tính năng mã hóa đầu cuối như Signal, WhatsApp, hoặc Telegram để đảm bảo nội dung cuộc trò chuyện được bảo vệ.
- Hạn chế xác thực 2 yếu tố qua SMS: Thay vì sử dụng tin nhắn SMS để nhận mã bảo mật (2FA), người dùng nên chuyển sang sử dụng các ứng dụng tạo mã xác thực chuyên dụng như Google Authenticator hoặc Microsoft Authenticator để tăng cường lớp bảo vệ cho tài khoản.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
