Votre téléphone OnePlus a une énorme vulnérabilité SMS

Les téléphones OnePlus restent populaires, même s'ils n'ont peut-être pas le même poids qu'ils auparavant. Si vous avez un téléphone OnePlus, vous voudrez en savoir plus sur cette vulnérabilité – et bien qu'un correctif soit en cours, vous devriez continuer à être prudent pendant qu'il atterrit.

Une vulnérabilité de sécurité importante a été découverte dans les smartphones OnePlus qui laisse les messages SMS et MMS de millions d'utilisateurs exposés à toute application installée sur leurs appareils. La faille est présente dans plusieurs versions du logiciel Oxygenos de l'entreprise et permet une contournement complète du système d'autorisation d'Android, accordant un accès silencieux aux données de messages sensibles. Yikes.

La vulnérabilité critique a d'abord été identifiée et détaillée par la société de cybersécurité Rapid7. L'entreprise a expliqué dans la divulgation publique pour la vulnérabilité que l'exploit, officiellement désigné comme CVE-2025-10184, affecte une large gamme d'appareils OnePlus exécutant des logiciels à partir d'Oxygenos 12, remontant à au moins le modèle OnePlus 8T. C'est beaucoup de téléphones touchés, surtout lorsque vous voyez combien de temps il est depuis que Oxygenos 12 a été libéré et combien de temps le problème est resté non détecté. Le cœur du problème réside dans les modifications apportées au package de téléphonie Android standard, un composant au niveau du système qui gère les appels et les messages. Ces modifications ont créé par inadvertance une faille qui permet à toute application, quelles que soient ses autorisations déclarées, de lire les messages SMS et MMS, y compris leur contenu et leurs métadonnées associées.

Le défaut ne nécessite apparemment aucune interaction utilisateur ou consentement pour être exploité, ce qui le rend vraiment, vraiment dangereux. Une application n'a pas besoin de demander des autorisations SMS, et le système d'exploitation ne donne aucune notification selon laquelle un tiers a accédé aux messages privés de l'utilisateur. Cela signifie que pendant des mois, voire des années, des applications malveillantes ou tout simplement mal codées auraient pu siphonner des données personnelles, y compris des informations sensibles souvent envoyées par SMS, telles que les mots de passe ponctuels (OTP) pour l'authentification à deux facteurs (2FA), à l'insu de l'utilisateur.

La cause technique semble provenir de l'introduction de plusieurs nouveaux fournisseurs de contenu dans le service d'application de téléphonie lorsque OnePlus a publié Oxygenos 12. Bien que les développeurs OnePlus aient correctement attribué des autorisations de lecture pour les messages SMS à ces nouveaux fournisseurs, ils n'ont pas réussi à implémenter les autorisations d'écriture correspondantes. Cette surveillance, comme l'explique le blog technique de Rapid7, peut « permettre aux applications client d'effectuer des opérations d'écrivain » si la fonction est mise en œuvre au sein du fournisseur, laissant efficacement la porte ouverte à un accès non autorisé. La vulnérabilité n'existe pas dans les versions plus anciennes, telles que les oxygénos 11.

Rapid7 a noté qu'il avait tenté de contacter OnePlus pour divulguer la vulnérabilité de manière responsable plusieurs mois avant de rendre ses résultats publics, mais n'a reçu aucune réponse. Après la publication de la divulgation publique lundi, OnePlus a officiellement reconnu l'exploit mercredi et confirmé qu'un correctif était en route. Il est enfin réparé, mais ce type de bévue est rarement vu dans les fabricants d'Android de haut niveau, et c'est une solution très tardive – dans l'orientation, aucun acteur malveillant n'a en fait remarqué ce point d'entrée et a volé des données utilisateur.