一加氧OS系统中发现了一个严重的安全漏洞,该漏洞允许任何已安装的应用程序在不请求权限或通知用户的情况下读取短信和彩信。
这一编号为CVE-2025-10184的漏洞影响多个运行氧OS 12至15版本的一加设备,可能会危及基于短信的多因素认证(MFA)系统,并使敏感的个人通信面临未授权访问的风险。
网络安全公司Rapid7在多款一加智能手机型号中发现了这种权限绕过漏洞,包括一加8T、一加10 Pro 5G,以及该生态系统中可能存在的其他设备。
该漏洞源于Android Telephony包(com.android.providers.telephony)中未得到妥善保护的内部内容提供程序,这些程序可通过SQL注入技术被利用。
一加氧OS漏洞
该漏洞利用了安卓的内容提供器系统,该系统用于管理跨应用程序的结构化数据访问。
一加在其OxygenOS系统中引入了三个额外的导出内容提供程序,这些在原生安卓系统中是没有的,分别是PushMessageProvider、PushShopProvider和ServiceNumberProvider。
这些提供程序包含不充分的权限控制,且缺乏适当的SQL注入防护。
最关键的漏洞存在于ServiceNumberProvider类中,该类的update方法通过where参数接受任意SQL代码,且未进行清理。
正如报告所述,恶意应用程序可能会利用这一漏洞实施盲注SQL注入攻击,通过布尔推理技术从设备的消息数据库中逐个字符提取短信数据。
这种利用过程包括构造带有UNION SELECT语句和substr函数的SQL查询,以系统性地提取消息内容。
此漏洞带来的安全影响远不止简单的消息拦截。
该漏洞实际上绕过了安卓的读取短信权限系统,使得恶意应用能够在未经用户同意且没有系统通知的情况下,悄无声息地访问短信数据。
最关键的是,这会危及银行应用程序、社交媒体平台和其他安全敏感服务所使用的基于短信的多因素认证系统。
| 风险因素 | 详情 |
| 受影响产品 | 运行OxygenOS 12、14和15系统的一加设备(例如8T、10 Pro) |
| 影响 | 未经授权读取短信和彩信的数据及元数据;静默绕过基于短信的多因素认证 |
| 漏洞利用前提条件 | 3. 设备上安装了恶意应用程序 |
| CVSS 3.1评分 | 7.8(高) |
缓解措施
该漏洞影响多个设备型号上的OxygenOS 12、14和15版本。值得注意的是,经测试的OxygenOS 11版本不受此漏洞影响,这表明该安全缺陷是在2021年OxygenOS 12的开发周期中引入的。
Rapid7估计,这个问题可能会影响到国家支持的对手以及试图监控通信的威权政权的监视活动。
自2025年5月以来,一加对Rapid7的披露尝试一直没有回应,这导致在未与供应商协调的情况下进行了公开披露。
在一加发布针对CVE-2025-10184的安全补丁之前,用户可以通过卸载非必要应用、将基于短信的多因素认证切换为认证器应用,以及使用端到端加密消息平台进行敏感通信来降低风险。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
