【安全资讯】一加手机曝出高危漏洞，可致短信数据遭窃取

概要：

近日，安全公司Rapid7披露一加（OnePlus）手机存在一个高危安全漏洞，允许任意应用无需权限即可读取用户的短信和彩信数据。该漏洞自2021年12月随OxygenOS 12推出便存在，影响范围广泛，可能波及其他使用相同Android组件的OEM厂商。由于漏洞可被用于绕过短信双因素认证（MFA），对用户账户安全构成严重威胁。

主要内容：

该漏洞被追踪为CVE-2025-10184，CVSS评分为8.2。其核心问题在于一加手机系统内部的内容提供者（com.oneplus.provider.telephony）存在权限配置错误和SQL注入漏洞。Android平台的内容提供者本应通过API管理数据访问并强制执行权限控制，以防止未授权的外部应用访问敏感数据，但此漏洞完全绕过了这些保护机制。

攻击者通过一个受控的应用，无需申请任何特殊权限，即可利用SQL注入漏洞悄无声息地读取设备上的所有短信和彩信内容。整个攻击过程无需用户交互，用户不会收到任何访问警报。这使得攻击者能够窃取包含验证码的短信，从而绕过基于短信的MFA保护，入侵用户的各类在线账户。

Rapid7研究人员指出，尽管目前尚未发现该漏洞在野被利用的迹象，但潜在影响巨大。除了账户被盗风险外，该漏洞也可能被用于大规模监控。值得注意的是，Rapid7自2024年5月1日起多次尝试通过官方渠道（OneSRC、客服甚至社交媒体）联系一加公司协同修复，但均未获回应，最终被迫进行公开披露。

截至目前，一加尚未发布安全补丁。作为临时缓解措施，专家建议用户仅从可信来源安装应用，移除非必要应用，并将基于短信的MFA验证方式更换为认证器应用（如Google Authenticator），同时优先使用加密通讯应用替代普通短信。