Une vulnérabilité critique dans la surcouche OxygenOS permet à toute application installée de lire les SMS et MMS des smartphones OnePlus. Rapid7 a détecté et testé la faille, puis a publié ses résultats après des tentatives de signalement privées. OnePlus reconnaît le problème et prévoit un correctif global par mise à jour OTA à partir de mi-octobre 2025.
La faille en bref
Rapid7 a identifié une vulnérabilité classée CVE-2025-10184. Elle affecte les appareils OnePlus sous OxygenOS 12 à 15. Ces versions équipent la plupart des appareils sortis depuis 2019. Le score de gravité atteint CVSS 8.2/10, signifiant une menace élevée pour la vie privée.
Comment l’exploitation fonctionne
OnePlus a remplacé le module Android standard de gestion des SMS par des composants propriétaires. Ces composants incluent PushMessageProvider, PushShopProvider et ServiceNumberProvider. Lors de la migration vers OxygenOS 12, OnePlus a mal configuré les permissions d’accès.
Une application malveillante peut exploiter cette mauvaise configuration. Elle exécute une injection SQL à l’aveugle. Ensuite, l’application extrait caractère par caractère l’intégralité de la base de données SMS. Elle récupère aussi les métadonnées et les codes d’authentification à deux facteurs.
Appareils concernés
La faille touche tous les modèles OnePlus sous OxygenOS 12 à 15. Elle inclut des modèles populaires comme le OnePlus 10 Pro et le OnePlus 13. Les utilisateurs doivent considérer leurs appareils vulnérables jusqu’au déploiement du correctif.
Risques pour les utilisateurs
Les risques couvrent plusieurs scénarios. Un acteur malveillant peut lire des messages privés et des codes 2FA. De plus, il peut envoyer des SMS silencieux depuis l’appareil. Cela facilite la fraude, les envois surtaxés, et les campagnes de phishing.
Par ailleurs, la validation par SMS devient moins fiable. Les comptes protégés uniquement par SMS risquent le piratage. Dans un contexte professionnel, cette faille peut compromettre des données sensibles.
Chronologie des événements
- Mai 2025 : Rapid7 découvre et teste la faille sur plusieurs modèles.
- Après mai 2025 : Rapid7 contacte OnePlus en privé pour signaler la vulnérabilité.
- Septembre 2025 : Rapid7 publie les détails et le code exploit, face à l’absence de réaction suffisante.
- Mi-octobre 2025 : OnePlus annonce le déploiement mondial d’un correctif OTA.
Que faire en attendant le correctif
Adoptez des mesures immédiates pour réduire les risques. Suivez ces recommandations pratiques :
- Installez des applications seulement depuis des sources fiables.
- Supprimez les applications superflues et suspectes.
- Préférez une application d’authentification pour la 2FA, comme Authy ou Google Authenticator.
- Utilisez des messageries chiffrées, par exemple WhatsApp ou Telegram, pour les échanges sensibles.
- Surveillez les activités inhabituelles, notamment l’envoi de SMS non autorisés.
De plus, limitez les permissions des applications et vérifiez les autorisations régulièrement.
Réaction de OnePlus et critiques
OnePlus a reconnu la faille après la publication de Rapid7. La marque promet un correctif et une enquête interne. Cependant, la communication publique a paru tardive pour certains observateurs. Ce retard nuit à la confiance des utilisateurs.
Enjeux plus larges
Cette faille illustre les risques liés aux modifications propriétaires d’Android. Quand un constructeur remplace des modules standard, il prend la responsabilité de la sécurité. Les processus de validation doivent renforcer la détection d’erreurs de configuration.
En outre, des entreprises utilisant des appareils OnePlus doivent revoir leurs politiques de sécurité. Elles doivent aussi évaluer les risques de conformité, notamment au regard du RGPD.
Pour aller plus loin
Points clés : la faille CVE-2025-10184 permet l’accès aux SMS sans permission. Rapid7 publie l’exploit. OnePlus prévoit un correctif mi-octobre 2025. Entre-temps, limitez les installations et activez des alternatives 2FA sécurisées.
