安全公司公开一加系统窃取短信的高危安全漏洞 因一加长期不修复
网络安全公司 RAPID7 日前公开披露一加 (OnePlus) 智能手机中存在的高危安全漏洞,借助这枚漏洞任意应用程序都可以不经过用户允许读取现有的短信和彩信数据。
根据研究人员的测试,多个版本的 OxygenOS (氧 OS,目前主要在国际市场中使用) 都存在这个安全漏洞,但 OxygenOS 11 在测试中不受影响,因此研究人员推测漏洞应该是一加在 2021 年 12 月 7 日发布的 OxygenOS 12 中带来的 (影响 12-15)。

无需用户交互的高危漏洞:
这枚漏洞的编号是 CVE-2025-10184,CVSS 评分为 8.2/10 分,问题根源在于一加使用的内部组件 com.oneplus.provider.telephony 中存在缺陷,可以在未经许可的情况下访问且容易受到 SQL 注入攻击。
黑客或恶意应用程序可以悄无声息地访问用户收到的任何短信或彩信,然后将数据传输到黑客控制的服务器,整个过程不需要任何交互,用户也不会看到任何通知。
本质上这个漏洞就是内部高权限组件存在的安全措施漏洞,这种内部组件具有更高的权限但会通过安全措施进行保护,避免未经授权的访问导致泄露系统内部敏感数据。
RAPID7 认为黑客利用漏洞可以窃取用户的 SMS 短信验证码,这样可以劫持用户账户造成更大危害,当然也可以通过窃取用户短信的方式实现某种监控并获取用户的私密信息。
未经修复就直接公布漏洞:
值得注意的是在安全行业,在漏洞没有被修复的情况下就披露漏洞细节属于大忌,正常的安全公司或研究人员都不会犯这种错误,通常都会耐心等待漏洞被修复。
然而 RAPID7 现在已经直接披露漏洞细节并提供可以利用漏洞的片段代码,原因是一加长期没有给出任何回应,这迫使研究人员将公开漏洞作为敦促供应商修复漏洞的最后手段。
RAPID7 从 2025 年 5 月 1 日开始就尝试联系一加进行反馈,首先漏洞被提交给一加安全响应中心但没有任何回应,随后 RAPID7 联系一加客服上报漏洞,客服表示会进行上报但依然没有任何明确消息。
到 7 月 22 日 RAPID7 通过 X/Twitter 向一加官方账号发送消息但还是没用,于是又尝试联系 OPPO 但同样没有成功,到 9 月 23 日研究人员还是没收到任何回应,最终迫于无奈 RAPID7 直接公开披露漏洞。
源于蓝点网 作者:山外的鸭子哥
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

M黑羽M
校验提示文案
值友请留步吧
校验提示文案
Methy10ran
校验提示文案
sunnyblackboy
校验提示文案
0君子固穷0
校验提示文案
巴芒演义
——这条消息发自一加手机
校验提示文案
否极泰会来
校验提示文案
焱炎火
校验提示文案
啊t556
校验提示文案
chaoss
校验提示文案
Chen1L
校验提示文案
钟某某
校验提示文案
lingtingmuse
校验提示文案
买个毛毛啊
校验提示文案
迷xi
校验提示文案
迷xi
校验提示文案
买个毛毛啊
校验提示文案
lingtingmuse
校验提示文案
钟某某
校验提示文案
Chen1L
校验提示文案
chaoss
校验提示文案
0君子固穷0
校验提示文案
啊t556
校验提示文案
焱炎火
校验提示文案
sunnyblackboy
校验提示文案
否极泰会来
校验提示文案
Methy10ran
校验提示文案
巴芒演义
——这条消息发自一加手机
校验提示文案
M黑羽M
校验提示文案
值友请留步吧
校验提示文案