Uma falha em várias versões do OxygenOS, sistema operacional baseado em Android da OnePlus, permite que qualquer aplicativo instalado acesse dados e metadados de SMS sem precisar de permissão ou interação do usuário.
A OnePlus, subsidiária da Oppo e fabricante de eletrônicos sediada em Shenzhen, é conhecida por desenvolver smartphones de alta qualidade com preços competitivos.
Enquanto outras grandes marcas chinesas, como Huawei e Xiaomi, não têm presença oficial nos EUA, os dispositivos da OnePlus são comercializados oficialmente no país.
Identificada como
CVE-2025-10184
e descoberta por pesquisadores da Rapid7, a vulnerabilidade ainda não foi corrigida e continua explorável.
A fabricante chinesa não respondeu às tentativas de contato da Rapid7, que decidiu publicar os detalhes técnicos e um exploit proof-of-concept (PoC).
O problema surge porque a OnePlus modificou o pacote Telephony padrão do Android para incluir novos content providers exportados, como PushMessageProvider, PushShopProvider e ServiceNumberProvider.
No manifesto desses providers, não há uma permissão write declarada para “READ_SMS”, o que deixa o acesso aberto para qualquer aplicativo, mesmo aqueles sem permissão para SMS.
O cenário piora porque as entradas fornecidas pelo cliente não são devidamente validadas, permitindo uma “blind SQL injection” capaz de reconstruir o conteúdo dos SMSs da base de dados do dispositivo, um caractere por vez.
Segundo a Rapid7, “usando um algoritmo que repete esse processo para cada caractere em cada linha retornada pela subconsulta, é possível extrair o conteúdo do banco de dados, utilizando o valor retornado pelo método update como um indicador de verdadeiro/falso.”
Apesar da permissão de leitura para SMS estar configurada corretamente, a falta da permissão de escrita permite inferir o conteúdo das mensagens quando algumas condições são atendidas:
- A tabela exposta deve conter pelo menos uma linha para que update() retorne um resultado maior que zero.
- O provider precisa permitir a inserção (insert()) para que um invasor possa criar uma linha falsa em caso de tabela vazia.
- A tabela sms deve estar no mesmo arquivo SQLite para que a subconsulta injetada consiga referenciá-la.
Todas as versões do OxygenOS, da 12 até a mais recente, a 15 (baseada no Android 15), são impactadas pela vulnerabilidade.
Os testes da Rapid7 confirmaram o problema em dispositivos como OnePlus 8T e 10 Pro, rodando diferentes versões do OxygenOS e pacotes Telephony, mas a lista não é definitiva.
“Embora os números de build testados sejam específicos dos dispositivos avaliados, como a falha afeta um componente central do Android, esperamos que outros aparelhos da OnePlus rodando essas versões do OxygenOS também estejam vulneráveis, ou seja, não é um problema relacionado ao hardware”, explica a Rapid7.
Os pesquisadores tentaram contato com a OnePlus a partir de 1º de maio, enviando mensagens para diversos endereços de e-mail até 16 de agosto.
Sem receber resposta após sete tentativas, a empresa de segurança divulgou publicamente os detalhes da
CVE-2025-10184
.
Pouco depois da publicação do relatório da Rapid7, a OnePlus reconheceu a divulgação e afirmou que iniciou uma investigação sobre o problema.
O site BleepingComputer entrou em contato com a OnePlus para comentar o caso, mas ainda aguarda resposta.
Enquanto não houver uma correção disponível, recomenda-se reduzir o número de apps instalados no dispositivo OnePlus, confiar apenas em publicadores confiáveis e migrar de autenticação em duas etapas (2FA) baseada em SMS para aplicativos de OTP, como o Google Authenticator.
Como o SMS não está devidamente isolado nos aparelhos da OnePlus, mensagens e comunicações sensíveis devem ser feitas exclusivamente por apps com criptografia de ponta a ponta.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...