目前大多数在用的一加手机可能存在一个安全漏洞,导致短信和彩信数据泄露,而且该漏洞要到10月中旬才会修复。据信,只有仍在运行2020年OxygenOS 11或更早版本的一加手机才不会受到该漏洞的影响。
网络安全公司Rapid7率先发现了该漏洞,该漏洞与一加对安卓系统电话服务所做的更改有关。简而言之,该漏洞允许已安装的应用“未经许可、用户交互或同意”访问短信数据。该公司在运行 OxygenOS 12、14 和 15 的设备上发现了该漏洞,但报告称基于 Android 11 的旧版 OxygenOS 11 并不存在此漏洞。虽然 Rapid7 仅测试了两种硬件——一加 8T 和 10 Pro 5G——但它表示,该漏洞“影响安卓系统的核心组件”,因此不太可能是特定于硬件的。
OnePlus已承认存在该问题,但一位不愿透露姓名的发言人发表声明称,最早也要到10月中旬才能修复该问题。
我们确认 CVE-2025-10184 漏洞近期已披露,并已实施修复。该修复将于 10 月中旬通过软件更新在全球范围内推出。OnePlus 始终致力于保护客户数据,并将继续优先考虑安全性改进。
Rapid7于本周一在其博客上宣布了这一发现,但一加直到周三才做出回应。Rapid7表示,他们曾尝试私下联系一加讨论该问题,但未能成功,最终由于一加“限制性保密协议”而拒绝了该公司的漏洞赏金计划,最终决定公开披露。
在修复该漏洞之前,Rapid7 建议 OnePlus 设备所有者仅安装来自可信来源的应用程序,卸载任何不必要的应用程序,切换到加密消息应用程序,并使用身份验证器应用程序而不是基于 SMS 的双因素身份验证。