Uma vulnerabilidade grave foi descoberta em smartphones OnePlus, permitindo que invasores acessem dados de SMS e MMS. A fabricante reconheceu a vulnerabilidade e prometeu corrigi-la com uma atualização de software em meados de outubro.
Fonte da imagem: oneplus.com
O problema foi descoberto por pesquisadores da empresa de segurança cibernética Rapid7. Eles publicaram os resultados de sua pesquisa sobre um exploit que ignora permissões. O exploit funciona em “várias versões” do OxygenOS, começando com o OxygenOS 12 no OnePlus 8T. O problema era que o fabricante modificou o pacote padrão de telefonia, permitindo que qualquer aplicativo instalado em um dispositivo vulnerável acessasse o banco de dados de SMS e MMS e seus metadados “sem permissão, interação do usuário ou consentimento”. O TelephonyProvider é um componente de sistema do AOSP (Android Open Source Project) que gerencia o acesso a mensagens. Embora originalmente fornecesse restrições rígidas de acesso a dados, os desenvolvedores do OxygenOS adicionaram classes ContentProvider adicionais a este pacote, que não possuem as medidas de segurança do TelephonyProvider original.
A Rapid7 tentou entrar em contato com a OnePlus e a Oppo sobre este problema do início de maio até a segunda quinzena de setembro, mas não obteve uma resposta clara durante esse período e foi forçada a divulgar informações sobre a vulnerabilidade, que recebeu o número CVE-2025-10184, ao público. O material foi publicado em 23 de setembro, e somente em 24 de setembro a OnePlus se pronunciou. A fabricante chinesa comentou o seguinte ao 9to5Google: “Confirmamos que a vulnerabilidade CVE-2025-10184 foi descoberta anteriormente e já implementamos uma correção. Ela será implementada globalmente por meio de uma atualização de software a partir de meados de outubro. A OnePlus continua comprometida em proteger os dados dos clientes e continuará priorizando a melhoria da segurança.”Considerando que o erroEmbora ausente no OxygenOS 11, a empresa fez alterações no pacote Telephony durante o Android 12, adicionando três classes ContentProvider:
A alteração neste pacote em si não representa nenhuma ameaça, mas os desenvolvedores da OnePlus ignoraram as considerações de segurança e permitiram que essas classes lessem (mas não gravassem) mensagens SMS sem as restrições apropriadas. Recomenda-se que os proprietários de smartphones OnePlus tenham cautela até que a atualização do software seja lançada, incluindo a desinstalação de todos os aplicativos desnecessários e evitando a instalação de novos de fontes não confiáveis. Os mecanismos de autenticação multifator baseados em SMS provavelmente devem ser substituídos por aplicativos apropriados.