大多數當前使用的 OnePlus 手機都可能受到一個嚴重的安全漏洞影響,該漏洞會導致 SMS 和 MMS 資料外洩,且預計要等到十月中旬才會發佈修補程式。目前,僅有運行 2020 年 OxygenOS 11 或更早版本的 OnePlus 手機被認為不受此漏洞影響,其餘的 OnePlus 手機皆有機會受影響。
重點文章
漏洞細節
安全公司 Rapid7 最早發現此漏洞,該漏洞與 OnePlus 對 Android 內部 Telephony 服務所做的修改有關。簡而言之,它允許已安裝的應用程式「在未經許可、使用者互動或同意的情況下」存取 SMS 資料。Rapid7 在運行 OxygenOS 12、14 和 15 的設備上發現此漏洞,但指出基於 Android 11 的舊版 OxygenOS 11 並不受影響。儘管 Rapid7 僅測試了 OnePlus 8T 和 10 Pro 5G 兩種硬體型號,但其表示此漏洞「影響 Android 的核心組件」,因此不太可能是硬體專屬問題。
官方回應與揭露
OnePlus 已承認此問題,並表示最快要等到十月中旬才會發佈修復。該公司聲明:「我們已注意到 CVE-2025-10184 的近期揭露,並已實施修復。這將透過 software update 在全球範圍內推出,預計從十月中旬開始。OnePlus 承諾保護客戶資料,並將繼續優先考慮 security improvements。」Rapid7 本週一在其網誌上公佈了此發現,但 OnePlus 直到週三才做出回應。Rapid7 表示,它曾嘗試私下聯繫 OnePlus 討論該問題但未果,且因該公司的「限制性 Non Disclosure Agreement」排除了 bug bounty program,最終才決定公開揭露。
使用者建議
在此漏洞修補之前,Rapid7 建議 OnePlus 設備使用者僅從信任的來源安裝應用程式、卸載任何不必要的應用程式、改用加密通訊應用程式,並優先使用 authenticator apps 而非基於 SMS 的 two-factor authentication。
