FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Rapid7研究人员披露了一加OxygenOS（一加专为海外市场开发的Android系统）中存在的一个关键权限绕过漏洞，CVE编号CVE-2025-10184。该漏洞允许受影响设备上安装的任何应用程序在无需权限、用户交互或同意的情况下，读取短信/彩信内容及其元数据。

漏洞技术细节

该漏洞源于一加OxygenOS安卓框架中内容提供程序（content providers）的错误配置。研究人员发现，OxygenOS中的ServiceNumberProvider（以及PushMessageProvider和PushShopProvider）在未强制执行READ_SMS权限的情况下，就允许访问敏感短信数据。

Rapid7指出："当漏洞被利用时，设备上安装的任何应用都能从系统提供的Telephony提供程序中读取短信/彩信数据及元数据...整个过程无需权限、用户交互或同意，用户也不会收到短信数据被访问的通知。"

影响范围与攻击场景

漏洞已确认影响以下机型：

• 一加 8T / KB2003	3.4.135	12	KB2003_11_C.33
  一加 10 Pro 5G / NE2213	14.10.30	14	NE2213_14.0.0.700（EX01）
  一加 10 Pro 5G / NE2213	15.30.5	15	NE2213_15.0.0.502（EX01）
  一加 10 Pro 5G / NE2213	15.30.10	15	NE2213_15.0.0.700（EX01）
  一加 10 Pro 5G / NE2213	15.40.0	15	NE2213_15.0.0.901（EX01）

值得注意的是，OxygenOS 11版本不受影响，表明该漏洞是2021年随OxygenOS 12引入的。研究人员强调："由于该问题影响安卓核心组件，我们预计运行上述OxygenOS版本的其他OnePlus设备也会受影响。"

除简单的权限绕过外，该漏洞还使一加设备面临盲注SQL注入风险。由于存在漏洞的提供程序允许未净化的输入，攻击者可构造查询逐字符提取短信内容。

安全风险与缓解措施

Rapid7的概念验证（PoC）证明，攻击者无需请求任何权限即可提取近期短信内容，包括来自热门应用的多因素认证（MFA）令牌。研究人员警告："这可能造成敏感信息泄露，并有效破坏基于短信的多因素认证（MFA）所提供的安全保护。"

由于无法通过漏洞赏金计划联系一加，该漏洞目前仍无官方补丁。Rapid7建议用户采取以下缓解措施：

• 仅安装可信应用并移除非必要程序
• 将短信MFA切换为认证器应用
• 对敏感通信使用端到端加密消息应用替代短信
• 尽可能选择应用内推送通知而非短信提醒

参考来源：

CVE-2025-10184: Unpatched OnePlus Flaw Exposes SMS Data & Breaks MFA, PoC Available

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）