近日,安全公司 Rapid7 披露了 OnePlus 定制 Android 系统 OxygenOS 中的一个严重漏洞(CVE-2025-10184)。该漏洞允许设备上的任意应用在无需权限、无需用户操作或同意的情况下,直接读取用户的 SMS/MMS 信息与元数据,从而威胁到用户的隐私与基于短信的双因素认证(MFA)安全。
研究人员指出,问题源于 OxygenOS 内部多个暴露的内容提供器(包括 ServiceNumberProvider、PushMessageProvider 和 PushShopProvider)未正确校验权限,绕过了 Android 的 READ_SMS 权限机制。这意味着攻击者不仅可以窃取验证码、财务提醒等敏感短信,还可能借此实施 盲注攻击(blind SQL injection),逐字逐句地提取用户短信内容。
受影响的机型包括:
OnePlus 8T / KB2003,OxygenOS 12 (KB2003_11_C.33)
OnePlus 10 Pro 5G / NE2213,OxygenOS 14–15 多个版本 (NE2213_14.0.0.700、15.0.0.502、15.0.0.700、15.0.0.901)
值得注意的是,OxygenOS 11 并不受影响,表明问题在 2021 年随 OxygenOS 12 引入。由于漏洞位于系统核心组件中,研究人员推测其他机型运行相同版本系统时也可能存在风险。
Rapid7 的 PoC(概念验证)已证明:攻击者可以在不触发任何权限请求的情况下,直接导出用户最近短信内容,其中包括来自热门应用的 MFA 验证码。
遗憾的是,Rapid7 多次尝试与 OnePlus 协调修复未果。由于 OnePlus 漏洞奖励计划要求研究者签署严格的保密协议,Rapid7 无法通过该渠道报告问题。截止目前,CVE-2025-10184 仍未获得官方修复补丁。
在补丁发布之前,研究人员建议用户:
-仅安装可信任的应用,移除不必要的第三方软件;
-避免使用短信作为双因素认证方式,转向 Authenticator 应用;
-使用端到端加密的即时通讯软件代替传统短信;
-尽量选择应用内推送通知而非短信提醒。
资讯来源:securityonline.info
声明:本文来自看雪学苑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
