Uma falha de segurança foi descoberta em smartphones OnePlus, permitindo que qualquer aplicativo leia todas as mensagens SMS sem permissão.

Uma vulnerabilidade grave foi descoberta em smartphones OnePlus, permitindo que invasores acessem dados de SMS e MMS. A fabricante reconheceu a vulnerabilidade e prometeu corrigi-la com uma atualização de software em meados de outubro.

Fonte da imagem: oneplus.com

O problema foi descoberto por pesquisadores da empresa de segurança cibernética Rapid7. Eles publicaram os resultados de sua pesquisa sobre um exploit que ignora permissões. O exploit funciona em “várias versões” do OxygenOS, começando com o OxygenOS 12 no OnePlus 8T. O problema era que o fabricante modificou o pacote padrão de telefonia, permitindo que qualquer aplicativo instalado em um dispositivo vulnerável acessasse o banco de dados de SMS e MMS e seus metadados “sem permissão, interação do usuário ou consentimento”. O TelephonyProvider é um componente de sistema do AOSP (Android Open Source Project) que gerencia o acesso a mensagens. Embora originalmente fornecesse restrições rígidas de acesso a dados, os desenvolvedores do OxygenOS adicionaram classes ContentProvider adicionais a este pacote, que não possuem as medidas de segurança do TelephonyProvider original.

A Rapid7 tentou entrar em contato com a OnePlus e a Oppo sobre este problema do início de maio até a segunda quinzena de setembro, mas não obteve uma resposta clara durante esse período e foi forçada a divulgar informações sobre a vulnerabilidade, que recebeu o número CVE-2025-10184, ao público. O material foi publicado em 23 de setembro, e somente em 24 de setembro a OnePlus se pronunciou. A fabricante chinesa comentou o seguinte ao 9to5Google: “Confirmamos que a vulnerabilidade CVE-2025-10184 foi descoberta anteriormente e já implementamos uma correção. Ela será implementada globalmente por meio de uma atualização de software a partir de meados de outubro. A OnePlus continua comprometida em proteger os dados dos clientes e continuará priorizando a melhoria da segurança.”Considerando que o erroEmbora ausente no OxygenOS 11, a empresa fez alterações no pacote Telephony durante o Android 12, adicionando três classes ContentProvider:

A alteração neste pacote em si não representa nenhuma ameaça, mas os desenvolvedores da OnePlus ignoraram as considerações de segurança e permitiram que essas classes lessem (mas não gravassem) mensagens SMS sem as restrições apropriadas. Recomenda-se que os proprietários de smartphones OnePlus tenham cautela até que a atualização do software seja lançada, incluindo a desinstalação de todos os aplicativos desnecessários e evitando a instalação de novos de fontes não confiáveis. Os mecanismos de autenticação multifator baseados em SMS provavelmente devem ser substituídos por aplicativos apropriados.