曝一加OnePlus手机存在重大短信漏洞，而修复补丁要10月中旬推出

如果你正在使用运行OxygenOS 12、14或15系统的一加智能手机，有一则消息可能会让你担忧。本周早些时候，网络安全公司Rapid7披露，运行这些OxygenOS版本的一加智能手机存在一个重大安全漏洞，这可能会让恶意应用在未经许可、无需用户交互或同意的情况下访问你手机上的短信和彩信数据。

该公司还表示，“用户也不会收到短信数据正被访问的通知”，这“可能导致敏感信息泄露，并可能实际上破坏基于短信的多因素认证（MFA）检查所提供的安全性”。

Rapid7在多款一加智能手机和不同版本的OxygenOS系统上对该漏洞进行了测试并确认了其存在，如下表所示。

这家网络安全公司表示，编号为CVE-2025-10184的这一漏洞是在OxygenOS 12系统中出现的，因为其测试的OxygenOS 11版本并未受到该问题的影响。

此外，尽管Rapid7表示这一安全漏洞“似乎并非特定于硬件的问题”，但其潜在影响被认为是较高的，因为它影响到了安卓系统的一个核心组件，而且除了8T或10 Pro 5G之外，运行氧OS 12、14或15的一加设备也可能容易受到该漏洞的影响。

Rapid7于2025年5月1日首次联系一加，讨论这一问题。此后，在2025年9月23日公开披露其发现之前，该公司又与一加和OPPO联系了六次左右。一天后，一加对Rapid7做出回应，确认了该公司的披露，并告知对方这个中国品牌正在调查此事。
一加没有告诉Rapid7它将采取哪些措施；不过，在随后的一份声明中，一加的一位发言人表示：“我们注意到最近披露的CVE-2025-10184漏洞，并且已经实施了修复方案。该修复方案将从10月中旬开始通过软件更新在全球范围内推送。一加始终致力于保护客户数据，并将继续优先推进安全方面的改进。”

那么，在10月中旬修复程序推出之前，受影响的一加设备用户可以做些什么呢？

Rapid7的工作人员已建议受影响的一加设备用户采取以下措施：

• 只从可信来源安装应用，并移除所有非必要应用。这将减少接触那些可能利用这种权限绕过方式读取短信/彩信数据的不可信应用的机会。
• 检查哪些第三方服务使用基于短信的多因素认证（MFA），并将这些服务改为使用认证器应用。这将减少通过短信发送到你设备的敏感信息。
• 为了增强短信的隐私性，用户可以使用端到端加密的即时通讯应用，而非基于短信的通信方式。这将减少通过短信发送到您设备的敏感信息。
• 对于发送短信通知的第三方服务，或许可以改用应用内推送通知。这将限制通过短信发送到您设备的敏感信息。