CVE-2025-10184

Nome do Software Vulnerável e Versões Afetadas Versões 12 a 15 do OnePlus OxygenOS

Descrição Um problema de segurança significativo afeta dispositivos OnePlus executando o OxygenOS. Esta falha permite que qualquer aplicativo instalado leia dados e metadados de SMS/MMS do provedor de Telefonia do sistema sem exigir permissão, interação ou consentimento do usuário. O usuário não é notificado de que seus dados de SMS estão sendo acessados. Isso pode comprometer informações sensíveis e prejudicar a segurança da Autenticação de Múltiplos Fatores (MFA) baseada em SMS. A causa raiz é a falta de permissões de escrita em vários provedores de conteúdo (com.android.providers.telephony.PushMessageProvider, com.android.providers.telephony.PushShopProvider, com.android.providers.telephony.ServiceNumberProvider) e uma vulnerabilidade de injeção de SQL às cegas no método update desses provedores. A vulnerabilidade permite que um invasor extraia mensagens SMS através de consultas booleanas. O problema foi descoberto em maio de 2025 e divulgado publicamente em setembro de 2025. Embora a OnePlus tenha reconhecido o problema, uma correção não estava imediatamente disponível, com um lançamento planejado para meados de outubro de 2025.

Recomendações Atualize seu dispositivo para a versão mais recente do OxygenOS assim que a correção estiver disponível, a partir de meados de outubro de 2025. Remova quaisquer aplicativos não confiáveis do seu dispositivo. Mude da Autenticação de Múltiplos Fatores (MFA) baseada em SMS para um aplicativo autenticador. Use aplicativos de mensagens criptografadas em vez de SMS para comunicações sensíveis. Considere mudar as notificações de SMS para notificações push.