Rapid7研究人员披露了一加OxygenOS（一加专为海外市场开发的Android系统）中存在的一个关键权限绕过漏洞，CVE编号CVE-2025-10184。该漏洞允许受影响设备上安装的任何应用程序在无需权限、用户交互或同意的情况下，读取短信/彩信内容及其元数据。

Part01

漏洞技术细节

该漏洞源于一加OxygenOS安卓框架中内容提供程序（content providers）的错误配置。研究人员发现，OxygenOS中的ServiceNumberProvider（以及PushMessageProvider和PushShopProvider）在未强制执行READ_SMS权限的情况下，就允许访问敏感短信数据。

Rapid7指出：”当漏洞被利用时，设备上安装的任何应用都能从系统提供的Telephony提供程序中读取短信/彩信数据及元数据…整个过程无需权限、用户交互或同意，用户也不会收到短信数据被访问的通知。”

Part02

影响范围与攻击场景

根据Rapid7的报告，漏洞已确认影响以下机型：

图片来源：www.rapid7.com

值得注意的是，OxygenOS 11版本不受影响，表明该漏洞是2021年随OxygenOS 12引入的。研究人员强调：”由于该问题影响安卓核心组件，我们预计运行上述OxygenOS版本的其他OnePlus设备也会受影响。”

除简单的权限绕过外，该漏洞还使一加设备面临盲注SQL注入风险。由于存在漏洞的提供程序允许未净化的输入，攻击者可构造查询逐字符提取短信内容。

Part03

安全风险与缓解措施

Rapid7的概念验证（PoC）证明，攻击者无需请求任何权限即可提取近期短信内容，包括来自热门应用的多因素认证（MFA）令牌。研究人员警告：”这可能造成敏感信息泄露，并有效破坏基于短信的多因素认证（MFA）所提供的安全保护。”

由于无法通过漏洞赏金计划联系一加，该漏洞目前仍无官方补丁。

Rapid7建议用户采取以下缓解措施：

• 仅安装可信应用并移除非必要程序
• 将短信MFA切换为认证器应用
• 对敏感通信使用端到端加密消息应用替代短信
• 尽可能选择应用内推送通知而非短信提醒

参考来源：

CVE-2025-10184: Unpatched OnePlus Flaw Exposes SMS Data & Breaks MFA, PoC Available

https://securityonline.info/cve-2025-10184-unpatched-oneplus-flaw-exposes-sms-data-breaks-mfa-no-patch/

CVE-2025-10184: OnePlus OxygenOS Telephony provider permission bypass (NOT FIXED)

https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/

文章来源 ：FreeBuf