CVE-2025-10184：OnePlus OxygenOS 电话提供商权限绕过（未修复）

Rapid7

2025 年 9 月 23 日|最后更新于 2025 年 9 月 24 日|16分钟阅读

概述

Rapid7 已在其 Android 智能手机上跨多个设备安装的多个版本的 OnePlus OxygenOS 中发现了一个权限绕过漏洞 。预计受影响的设备范围比测试的设备范围更广。利用该漏洞后，设备上安装的任何应用都可以在未经许可、用户交互或同意的情况下从系统提供的电话提供程序（软件包 com.android.providers.telephony）读取短信/彩信数据和元数据。用户也不会收到正在访问 SMS 数据的通知。这可能会导致敏感信息泄露，并可能有效地破坏基于短信的多重身份验证 （MFA） 检查提供的安全性。

Rapid7 无法与受影响的供应商 OnePlus 取得联系，以协调此漏洞的披露。虽然 OnePlus 确实宣传了用于报告漏洞的公共漏洞赏金计划，但 Rapid7 由于其限制性的保密协议 （NDA） 条款和条件而无法参与其漏洞赏金计划。因此，CVE-2025-10184 在披露时被披露为未被供应商修复。

更新：2025 年 9 月 24 日，OnePlus 联系了 Rapid7，承认了我们的披露，并表示他们正在调查该问题。如果 OnePlus 的修复程序可用，我们将进一步更新此博客和相关内容。

冲击

该漏洞影响了广泛的 OxygenOS 版本和多个 OnePlus 设备，我们认为潜在影响很大。该问题源于这样一个事实，即敏感的内部内容提供程序无需许可即可访问，并且容易受到 SQL 注入的影响。根据我们的分析，该漏洞可用于绕过核心 Android READ_SMS 权限，在未经用户同意的情况下静默泄露用户的短信数据并破坏基于短信的 MFA 系统。在这个特殊的时刻，许多政府和威胁行为者都对与监控相关的漏洞和威胁产生了浓厚的兴趣。像这样影响广泛的问题，对于希望监视受害者的国家支持的对手和希望压迫政治异见者的独裁政权来说，都可能是一个福音。