一加手机OxygenOS存在权限绕过漏洞,攻击者可窃取短信并绕过MFA保护(CVE-2025-10184)
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
Rapid7研究人员发现一加OxygenOS中的关键漏洞CVE-2025-10184,允许无权限应用读取短信,影响一加8T和多款10 Pro设备。该漏洞源于内容提供程序配置错误,可能导致敏感信息泄露。目前尚无官方补丁,建议用户仅安装可信应用并使用端到端加密消息。
🎯
关键要点
- Rapid7研究人员发现一加OxygenOS中的关键漏洞CVE-2025-10184,允许无权限应用读取短信。
- 该漏洞影响一加8T和多款10 Pro设备,源于内容提供程序配置错误。
- 漏洞允许应用在无需权限、用户交互或同意的情况下访问敏感短信数据。
- OxygenOS 11版本不受影响,漏洞是随OxygenOS 12引入的。
- 该漏洞还使一加设备面临盲注SQL注入风险,攻击者可提取短信内容。
- Rapid7的概念验证显示,攻击者可提取近期短信内容,包括多因素认证令牌。
- 目前尚无官方补丁,建议用户仅安装可信应用并使用端到端加密消息。
❓
延伸问答
CVE-2025-10184漏洞的主要影响是什么?
该漏洞允许无权限应用读取短信内容,可能导致敏感信息泄露。
哪些设备受CVE-2025-10184漏洞影响?
受影响的设备包括一加8T和多款一加10 Pro设备。
OxygenOS 11版本是否受到该漏洞影响?
OxygenOS 11版本不受该漏洞影响。
该漏洞是如何被利用的?
攻击者可以在无需权限的情况下,通过错误配置的内容提供程序访问短信数据。
Rapid7对用户的安全建议是什么?
建议用户仅安装可信应用,并使用端到端加密消息。
该漏洞对多因素认证(MFA)有什么影响?
该漏洞可能破坏基于短信的多因素认证,导致安全保护失效。
➡️
