近期,網絡安全公司 Rapid7 公佈了一項令 OnePlus 手機用戶感到擔憂的消息。該公司指出,運行 OxygenOS 12、14 或 15 的 OnePlus 手機存在一個重大安全漏洞,這個漏洞可能使惡意應用程序在未經授權、未經用戶互動或同意的情況下,訪問用戶的 SMS 和 MMS 數據。
Rapid7 還表示,「用戶不會被通知 SMS 數據正在被訪問」,這「可能導致敏感信息的洩露,並有效破壞 SMS 基於的多重身份驗證 (MFA) 檢查所提供的安全性」。
Rapid7 對多款 OnePlus 手機及其 OxygenOS 版本進行了測試並確認了該漏洞,具體信息如下表所示:
| 設備 / 型號 | 包版本 | OxygenOS 版本 | 編譯號碼 |
|---|---|---|---|
| OnePlus 8T / KB2003 | 3.4.135 | 12 | KB2003_11_C.33 |
| OnePlus 10 Pro 5G / NE2213 | 14.10.30 | 14 | NE2213_14.0.0.700(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.30.5 | 15 | NE2213_15.0.0.502(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.30.10 | 15 | NE2213_15.0.0.700(EX01) |
| OnePlus 10 Pro 5G / NE2213 | 15.40.0 | 15 | NE2213_15.0.0.901(EX01) |
該安全漏洞被跟蹤為 CVE-2025-10184,根據 Rapid7 的說法,此漏洞是從 OxygenOS 12 開始出現的,因為測試的 OxygenOS 11 版本並不易受此問題影響。
此外,雖然 Rapid7 表示這個安全缺陷「似乎並不是硬件特定問題」,但其潛在影響被認為是高的,因為它影響了 Android 的核心組件,運行 OxygenOS 12、14 或 15 的其他 OnePlus 設備也可能受到影響。
Rapid7 在 2025 年 5 月 1 日首次聯絡 OnePlus 討論此問題,隨後在 2025 年 9 月 23 日公開披露其發現之前,與 OnePlus 和 Oppo 進行了多次聯絡。一天後,OnePlus 回應了 Rapid7,承認了該公司的披露並告知他們,該品牌正在調查此問題。
OnePlus 雖然未告訴 Rapid7 將採取哪些措施,但在隨後與 9to5Google 分享的聲明中,一名 OnePlus 發言人表示:「我們承認最近披露的 CVE-2025-10184,並已實施修復。這將於 10 月中旬通過軟件更新在全球範圍內推出。OnePlus 將繼續致力於保護客戶數據,並優先考慮安全改進。」
在修復方案於 10 月中旬推出之前,受到影響的 OnePlus 設備用戶可以採取以下措施:
– 僅安裝來自可信來源的應用程序,並刪除所有非必要的應用程序,以減少暴露於可能利用此權限繞過訪問 SMS/MMS 數據的應用程序。
– 檢查使用 SMS 基於的多重身份驗證 (MFA) 的第三方服務,並將這些服務改為使用身份驗證器應用程序,以減少敏感信息通過 SMS 發送到設備的風險。
– 為了增加短信的隱私,用戶可以使用端對端加密的即時通訊應用程序,取代 SMS 通信,這樣可以減少敏感信息通過 SMS 發送。
– 對於發送 SMS 通知的第三方服務,可以考慮更改為應用內推送通知,這樣可以減少敏感信息通過 SMS 發送到設備的風險。
更多詳細資訊可參閱 Rapid7 的完整披露。
