近期,网络安全公司Rapid7曝光了OnePlus设备中存在的一项未修复漏洞,引起了业界和用户的高度关注。该漏洞影响多个版本的OxygenOS操作系统,允许任何安装在设备上的应用程序无需获得SMS读取权限,即可访问用户的短信内容及相关元数据。鉴于短信承载大量隐私信息,此漏洞极大威胁了用户的通信安全和个人隐私。漏洞的技术细节、影响范围以及用户防范手段,成为当前安全领域的焦点。 这一安全缺陷的根源在于OnePlus对Android标准Telephony包的修改。OxygenOS作为基于Android的定制系统,OnePlus增加了多个导出的内容提供者(Content Providers),例如PushMessageProvider、PushShopProvider和ServiceNumberProvider。
由于这些内容提供者在清单文件中缺少对写入权限(WRITE_SMS)和读取权限(READ_SMS)的正确声明,默认对所有应用开放访问权限,导致任何应用都能通过这些接口访问短信等高度敏感的数据。 更为严重的是,内容提供者接口未对用户输入进行严格过滤,导致存在SQL注入漏洞。攻击者可以发送精心构造的请求,通过盲注的方式逐字符提取数据库中的短信数据。通过不断尝试更新(update)操作,利用返回的受影响行数逐步获取符号信息,入侵者可以系统地恢复设备内存储的短信内容,形成恶劣的安全威胁。 该漏洞编号为CVE-2025-10184,覆盖OxygenOS从第12版至最新的15版,广泛影响OnePlus 8T、OnePlus 10 Pro及其他型号。一些测试设备型号包括OnePlus 8T(KB2003,OxygenOS 12)及OnePlus 10 Pro(多个版本和系统更新号),均确认受此漏洞波及。
这一问题并非硬件层面缺陷,而是操作系统核心组件的设计不当,预计其他采用相同Android版本和Telephony包的OnePlus设备同样易受攻击。 值得注意的是,OnePlus厂商在被Rapid7通知该漏洞后,曾长时间未予以回应。最终随着技术细节公开,OnePlus才承认问题的存在,并现正着手解决这一安全隐患。在补丁发布前,用户需加强警惕,严格控制设备上的应用安装,避免安装来路不明或未经验证的应用程序,以减少潜在风险。 此外,鉴于短信数据泄露可能导致双因素认证(2FA)安全机制失效,Rapid7建议用户暂时停止依赖通过SMS的二次验证方式,转而采用基于时间的一次性密码(TOTP)应用,如Google Authenticator等,确保账户安全不受影响。同时,建议用户尽量使用支持端到端加密的通讯工具,保障通信隐私不被侵害。
这一事件再次警醒大家,定制系统进行深度改造时需严把权限管理关口,避免因设计疏忽引发的安全漏洞。OnePlus此次漏洞暴露出厂商在Android系统定制层面安全实践的不足,应引起更多手机制造商和软件开发者重视,优化权限控制机制,保护用户敏感信息不被非法访问。 总结来看,此次OnePlus SMS读取权限漏洞揭示了Android生态中定制ROM带来的潜在风险。无论是普通用户还是企业安全团队,都应密切关注系统更新发布,及时安装官方补丁,增强设备安全防护能力。与此同时,理性使用应用权限,拒绝不必要的短信访问权限申请,以及使用可靠安全的认证方式,是应对该漏洞产生影响的有效手段。 未来,手机安全领域依然面临挑战,用户数据隐私保护需要软硬件厂商、监管机构以及用户自身共同努力。
OnePlus此次事件或成为推动移动设备安全规范化、提升安全意识的重要契机。只有保持警惕和不断改进,才能真正实现移动互联网时代的安全与隐私保障,让用户享受安全便捷的数字生活。 。
