(https://www.bleepstatic.com/content/hl-images/2025/09/24/OnePlus.png)
Una vulnerabilidad en múltiples versiones de OxygenOS, el sistema operativo Android de OnePlus, permite que cualquier aplicación instalada acceda a datos y metadatos de SMS sin necesidad de permiso ni interacción del usuario.
OnePlus, filial de Oppo, es un fabricante de electrónica de consumo con sede en Shenzhen conocido por desarrollar smartphones de alta gama a precios competitivos. Si bien otras grandes marcas chinas como Huawei y Xiaomi no están disponibles en EE. UU., los dispositivos OnePlus sí están disponibles oficialmente en el país.
La falla, identificada como CVE-2025-10184 y descubierta por investigadores de Rapid7, se encuentra actualmente sin parchear y es explotable:
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/
El fabricante chino de equipos originales (OEM) no ha respondido a las revelaciones de Rapid7 hasta la fecha, y la empresa de ciberseguridad publicó los detalles técnicos junto con un exploit de prueba de concepto (PoC).
Origen del problema
El problema surge cuando OnePlus modificó el paquete de telefonía Android estándar para introducir proveedores de contenido exportado adicionales como PushMessageProvider, PushShopProvider y ServiceNumberProvider.
El manifiesto de estos proveedores no declara un permiso de escritura para 'READ_SMS', dejándolo abierto a cualquier aplicación de forma predeterminada, incluso aquellas que no tienen permisos de SMS.
Proveedores adicionales que OnePlus agregó a su paquete de telefonía
(https://www.bleepstatic.com/images/news/u/1220909/2025/September/providers.jpg)
Para empeorar las cosas, las entradas proporcionadas por el cliente no se desinfectan, lo que permite una "inyección SQL ciega" que podría reconstruir el contenido de los SMS de la base de datos del dispositivo, forzándolo carácter por carácter.
"Mediante un algoritmo que repite este proceso para cada carácter de cada fila devuelta por la subconsulta, es posible exfiltrar el contenido de la base de datos, utilizando el valor de retorno del método de actualización como indicador de verdadero/falso", describe Rapid7 en el informe.
Por lo tanto, aunque el permiso de lectura para SMS está configurado correctamente, el permiso de escritura no lo está, lo que permite la inferencia del contenido de los SMS cuando se cumplen ciertos requisitos previos:
La tabla expuesta debe contener al menos una fila, por lo que update() puede devolver un resultado de "filas modificadas" distinto de cero.
El proveedor debe permitir insert() para que un atacante pueda crear una fila ficticia sobre la que operar si la tabla está vacía.
La tabla sms debe estar en el mismo archivo de base de datos SQLite porque la subconsulta inyectada debe poder referenciarla.
Explotación PoC para inferir el contenido de los SMS
(https://www.bleepstatic.com/images/news/u/1220909/2025/September/poc.jpg)
Impacto y respuesta
El problema afecta a todas las versiones de OxygenOS, desde la 12 hasta la 15, la más reciente, desarrolladas sobre Android 15.
Los investigadores de Rapid7 probaron y confirmaron la vulnerabilidad en OnePlus 8T y 10 Pro, con varias versiones de OxygenOS y números de paquete de telefonía, pero señalaron que su lista es prácticamente incompleta.
"Si bien los números de compilación mencionados [en la tabla] son específicos de los dispositivos de prueba, dado que el problema afecta a un componente central de Android, prevemos que esta vulnerabilidad afectará a otros dispositivos OnePlus con las versiones de OxygenOS mencionadas; es decir, no parece ser un problema específico del hardware", explicó Rapid7.
(https://i.postimg.cc/sXffNNRr/One-Plus-devices.png) (https://postimages.org/)
Los investigadores intentaron contactar a OnePlus para compartir sus hallazgos el 1 de mayo y realizaron un seguimiento de direcciones de correo electrónico alternativas en varias ocasiones hasta el 16 de agosto.
Tras siete intentos de comunicación sin obtener respuesta, la empresa de seguridad divulgó públicamente los detalles de CVE-2025-10184.
Poco después de la publicación del informe de Rapid7, OnePlus reconoció la divulgación y afirmó haber iniciado una investigación sobre el problema.
BleepingComputer se puso en contacto con OnePlus para solicitar comentarios, pero aún estamos esperando respuesta.
Hasta que se publique una actualización, se recomienda minimizar la cantidad de aplicaciones instaladas en el dispositivo OnePlus, confiar únicamente en editores de confianza y cambiar la autenticación de dos factores basada en SMS a aplicaciones OTP como Google Authenticator.
Dado que los SMS no están correctamente aislados en los dispositivos OnePlus, las comunicaciones sensibles solo deberían realizarse en aplicaciones con cifrado de extremo a extremo.
Actualización 25/9 - OnePlus envió la siguiente declaración:
"Reconocemos la reciente divulgación de CVE-2025-10184 y hemos implementado una solución. Esta se implementará globalmente mediante una actualización de software a partir de mediados de octubre. OnePlus mantiene su compromiso con la protección de los datos de sus clientes y seguirá priorizando las mejoras de seguridad." - Portavoz de OnePlus
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/unpatched-flaw-in-oneplus-phones-lets-rogue-apps-text-messages/