最初来源:
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-
provider-permission-bypass-not-fixed/
缩网址:https://reurl.cc/2QqOQO
美国资安厂商Rapid7发现海外一加使用的OxygenOS存在靠SQL注入手法,任何APP即可
在没有权限允许下可读用户短信的漏洞,由于资安厂被OPPO放置Play五个月的情况下
选择公开披露这个漏洞,随后一加才表示正在调查此问题。
随后根据网友测试CN版的ColorOS也有相同漏洞,
来源:https://www.v2ex.com/t/1162349
(简中论坛不喜勿入)
OPPO跟realme都在其中,基本上是OPPO旗下的都有该漏洞并且横跨数版本,但台版是
否在影响范围内个人没查到,但猜测也是中招。
由于漏洞是公开披露的状态,在厂商OTA安全更新前使用者等于是裸奔,只能注意不要
使用不可靠的APP与平台,只是不知道旧手机有没有救...
稍微看一下资安厂的文章真心觉得很扯,2025年居然可以靠SQL注入这种超简单手法获
得短信进而影响到二阶段验证的安全性,而且是横跨数个系统版本...