💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
安全公司RAPID7披露一加手机存在高危漏洞CVE-2025-10184,CVSS评分8.2/10,允许应用在未获用户同意的情况下读取短信和彩信。该漏洞源于内部组件缺陷,RAPID7多次尝试联系一加未果,最终公开漏洞细节以敦促修复。
🎯
关键要点
- 安全公司RAPID7披露一加手机存在高危漏洞CVE-2025-10184,CVSS评分8.2/10。
- 该漏洞允许应用在未获用户同意的情况下读取短信和彩信。
- 漏洞源于一加内部组件com.oneplus.provider.telephony的缺陷,易受SQL注入攻击。
- 多个版本的OxygenOS存在该漏洞,但OxygenOS 11不受影响。
- RAPID7多次尝试联系一加未果,最终公开漏洞细节以敦促修复。
- 在安全行业,未修复情况下公开漏洞细节属于大忌,RAPID7迫于无奈采取此举。
- RAPID7从2025年5月1日开始尝试联系一加,但未得到任何回应。
❓
延伸问答
一加手机的高危漏洞是什么?
一加手机存在的高危漏洞编号为CVE-2025-10184,CVSS评分为8.2/10,允许应用在未获用户同意的情况下读取短信和彩信。
这个漏洞是如何被发现的?
安全公司RAPID7在测试中发现该漏洞,并多次尝试联系一加进行反馈,但未得到回应,最终选择公开漏洞细节。
一加手机的哪些版本受到这个漏洞的影响?
多个版本的OxygenOS受到影响,但OxygenOS 11不受影响。
这个漏洞可能带来哪些安全风险?
黑客可以利用该漏洞窃取用户的短信验证码,劫持用户账户,甚至监控用户的私密信息。
RAPID7为何选择公开漏洞细节?
由于一加长期未回应,RAPID7迫于无奈选择公开漏洞细节以敦促一加修复。
一加在处理这个漏洞时的反应如何?
一加未对RAPID7的多次联系做出回应,导致研究人员最终公开漏洞信息。
➡️
