OnePlus-telefoons kampen met ernstige sms-kwetsbaarheid
Normaal gezien moeten Android-apps toestemming vragen om sms- en mms-berichten in te zien. Google voorkomt hiermee dat willekeurige apps privéberichten kunnen uitlezen, maar vooral ook dat ze 2FA-codes kunnen buitmaken. Een kwetsbaarheid in OnePlus’ Android-schil, OxygenOS geheten, maakt het echter mogelijk om deze beveiligingsmaatregel in Android te omzeilen.
Onderzoekers van cyberbeveiligingsbedrijf Rapid7 kwamen de kwetsbaarheid (CVE-2025-10184) dit voorjaar op het spoor. Volgens de onderzoekers treft de kwetsbaarheid “meerdere versies van OxygenOS”, vanaf OxygenOS 12 (gebaseerd op Android 12). Dit betekent dat zowel recente als veel oudere toestellen kwetsbaar zijn, inclusief bijvoorbeeld de OnePlus 8T.
Fluisterstille toegang tot sms-berichten
Dat apps ongezien sms- en mms-berichten kunnen inzien, heeft te maken met wijzigingen die OnePlus heeft doorgevoerd in de Android Telephony-service. Dat systeemonderdeel beheert je sms’jes en telefoongesprekken en voorkomt dat apps de data (zomaar) kunnen inzien. OnePlus heeft bij de implementatie van nieuwe contentproviders in de Telephony-service echter een fout gemaakt bij het toewijzen van schrijfrechten: die zijn niet geïmplementeerd, waardoor de apps die deze service gebruiken “schrijfbewerkingen kunnen uitvoeren”.
Dat zorgt er dan weer voor dat er een loophole ontstaat: apps kunnen ongeautoriseerd toegang krijgen tot je data (sms- en mms-berichten), inclusief metadata.
Daar merk je als gebruiker bovendien niets van, meldt Rapid7. Gebruikers ontvangen namelijk geen melding als apps de sms- of mms-data uitlezen. Zorgwekkend is dat er daarnaast geen interactie van de gebruiker nodig is om de kwetsbaarheid uit te buiten. Malafide Android-apps zouden zo al jarenlang toegang kunnen hebben tot je gevoelige sms-berichten, inclusief 2FA-codes.
OnePlus laat niets van zich horen
Mogelijk nog het meest opvallende aan het verhaal is dat OnePlus maandenlang berichten van Rapid7 heeft genegeerd. De onderzoekers hebben de Chinese fabrikant meermaals gecontacteerd, voordat ze de kwetsbaarheid maandag openbaar maakten. Ook toen bleef het nog stil: het duurde tot en met woensdag voordat OnePlus het rapport van het cyberbeveiligingsbedrijf erkende.
OnePlus heeft inmiddels ook toegezegd dat er een oplossing op komst is. Wanneer deze wordt uitgerold, is echter niet bekendgemaakt. Hopelijk duurt dat niet al te lang en is deze kwetsbaarheid niet al actief misbruikt. Daarover heeft Rapid7 dan weer niets bekendgemaakt.
