安全研究机构于9月23日披露,一加手机搭载的氧OS 12至15版本系统中存在一项严重安全漏洞,编号为CVE-2025-10184。该漏洞允许攻击者在未经用户授权的情况下读取或发送短信,甚至可能拦截验证码等敏感信息,进而导致隐私泄露或财产损失。
问题根源在于一加对安卓系统原生电话应用中的“telephony content provider”API进行了定制修改,新增了PushMessageProvider、PushShopProvider和ServiceNumberProvider等组件,但在权限配置上未对这些接口设置适当的写入限制。这一疏漏使得恶意应用可通过SQL注入等方式利用该漏洞,实现远程操控设备,获取短信访问权限。
研究人员已在一加8T(运行氧OS 12)和一加10 Pro(运行氧OS 14及15)上成功验证该漏洞的可利用性,其他搭载相关系统版本的一加设备也可能受到影响。值得注意的是,氧OS 11系统未发现同类问题。
该漏洞已于2025年5月被提交至厂商,经过多次沟通,一加方面已确认问题存在,并制定修复方案。官方预计从10月中旬开始逐步推送安全更新,全面修补该漏洞。
在系统更新发布之前,建议正在使用氧OS 12至15版本的用户提高警惕,仅从可信渠道安装应用程序,及时卸载不常用或来源不明的应用,并优先采用动态令牌、通行密钥等更安全的身份验证方式,减少对短信验证码的依赖,以降低潜在风险。
本文属于原创文章,如若转载,请注明来源:一加氧OS曝严重漏洞可致短信泄露https://mobile.zol.com.cn/1053/10533005.html
