Soyez prudent: cette grave vulnérabilité mettrait votre mobile OnePlus (et n’a pas encore été résolu)
Les chercheurs en cybersécurité ont découvert une vulnérabilité potentiellement grave qui mettrait la grande majorité des mobiles OnePlus modernes. Selon Rapid7, les smartphones de marque qui exécutent 12 et les oxygénos les plus récents sont exposés à cette défaillance, qui n’a pas encore été résolue.
Plus précisément, les experts ont indiqué que OnePlus a introduit des modifications de la téléphonie, l’un des principaux fournisseurs de contenu Android et qu’il est responsable de l’accès aux messages texte (SMS) et au multimédia (MMS) et à leurs métadonnées correspondantes, entre autres problèmes.
Selon l’explication offerte, le problème réside dans la gestion des permis de lecture et d’écriture, car OnePlus n’aurait pas inclus la seconde. « Si aucun attribut d’autorisation pour le fournisseur n’est défini et que le fournisseur ne spécifie pas explicitement de permis de lecture / écriture, le permis est considéré comme nul et, par conséquent, tout client peut effectuer ce type d’opération dans le fournisseur », indiquent les experts.
Qu’est-ce que cela signifie? Le fait que la vulnérabilité qui a été trouvée permet à toute application installée dans les mobiles OnePlus avec 12 ou oxygénos postérieurs puisse lire le SMS et le MMS de l’appareil – et leurs métadonnées respectives – « sans autorisation, interaction ou consentement » de l’utilisateur.
Cet échec de sécurité a le potentiel d’être très nocif pour des raisons assez évidentes. De nombreuses personnes utilisent encore des codes envoyés par SMS pour autoriser les actions dans des services avec une vérification en deux étapes ou une authentification double facteur. Par conséquent, les acteurs malveillants pourraient intercepter ces informations et causer des dommages majeurs. De plus, dans les pays où les SMS sont toujours utilisés comme voie de communication quotidienne, toutes les informations partagées pourraient être compromises.
Une défaillance de sécurité non résolue affecte le OnePlus moderne
Ce qui est curieux à propos de cette situation, c’est qu’elle affecte les mobiles OnePlus des 5 dernières années. À partir de Rapid7, ils expliquent que la défaillance de la sécurité a été détectée à partir de l’oxygène 12, qui a fait ses débuts en 2021. Des experts l’ont également trouvé dans Oxygen Boustts 14 et Oxygenos 15, mais pas dans Oxygenos 11.
Ainsi, ceux qui ont un mobile OnePlus qui exécute toujours cette version du système d’exploitation basé sur Android, qui a été lancé en 2020, est protégé de cette vulnérabilité. Il est généralement vice versa, et les appareils obsolètes sont généralement les principaux exposés à des lacunes de sécurité importantes.
Les experts en cybersécurité ont tenté de contacter OnePlus en privé pour l’informer de cet échec. Cependant, les efforts qui ont commencé en mai n’ont eu aucune réponse. Les spécialistes ont également expliqué que, bien que le fabricant ait un programme de récompenses pour signaler les bogues, ils n’ont pas participé aux « conditions restrictives de confidentialité ».
Après la diffusion du rapport, OnePlus a reconnu la véracité de la vulnérabilité. Il a également promis d’offrir une résolution, bien que cela n’arrive qu’en octobre. Cela a été déclaré par un représentant de l’entreprise 9to5google:
« Nous reconnaissons la récente diffusion du CVE-2025-10184 et nous avons mis en œuvre une solution. Cela sera mis en œuvre à l’échelle mondiale au moyen d’une mise à jour logicielle de la mi-octobre. OnePlus maintient son engagement envers la protection des données de leurs clients et continuera de hiérarchiser les améliorations de la sécurité. »
Pour l’instant, les spécialistes recommandent de ne pas installer d’applications à partir de sources inconnues et de désinstaller celles qui ne sont pas nécessaires. Nous resterons attentifs à plus de nouvelles.
