Allvarlig SMS-sårbarhet i Oneplus-telefoner

En ny säkerhetslucka har upptäckts i Oneplus gränssnitt OxygenOS som gör det möjligt för redan installerade appar att läsa både SMS och MMS utan att be om tillåtelse eller visa någon varning för användaren. 

Felet finns i versionerna OxygenOS 12, 14 och 15 på flera Oneplus-modeller, däribland Oneplus 8T och Oneplus 10 Pro. Säkerhetsföretaget Rapid7 har bekräftat att problemet uppstått på grund av modifieringar i Androids inbyggda telefontjänst, och att en bredare mängd modeller sannolikt är drabbade än de som testats i deras granskning. 

När en illasinnad app utnyttjar sårbarheten kan den i hemlighet hämta både meddelandetext och metadata direkt från systempaketet com.android.providers.telephony. Genom en teknik som kallas blind SQL-injektion kan angriparen få ut hela konversationer, och till och med kringgå SMS-baserad tvåfaktorsautentisering utan att användaren märker något. 

Oneplus har bekräftat bristen och lovar att skicka ut en säkerhetsuppdatering från mitten av oktober 2025. Tills dess uppmanas alla Oneplus -användare att se över sina app-behörigheter och bara installera program från pålitliga källor. 

För att skydda sig ytterligare rekommenderar Rapid7 att byta till autentiseringsappar istället för SMS för inloggning, använda end-to-end-krypterade meddelandetjänster, och undvika onödiga appar som kan utnyttja felet. Säkerhetsföretaget uppger att ,am försökte nå Oneplus flera gånger under våren 2025 utan att få svar, vilket försenade en samordnad åtgärd innan offentliggörandet i september.