¿Tienes un OnePlus? Enhorabuena: los hackers pueden leer tus SMS con total libertad
La vulnerabilidad 0-day aún no se ha corregido. ¿Por qué el fabricante ignora a los especialistas en ciberseguridad?
En el sistema operativo OxygenOS, instalado en los smartphones OnePlus, se ha detectado una vulnerabilidad crítica CVE-2025-10184, que permite a cualquier aplicación en el dispositivo leer el contenido de los SMS y los metadatos asociados sin solicitar permisos. El problema descubrieron los especialistas de Rapid7, que informaron que el error afecta a todas las versiones del sistema desde OxygenOS 12 hasta la actual OxygenOS 15. El fabricante aún no ha publicado una corrección y las primeras notificaciones de los investigadores han quedado sin respuesta.
La causa del fallo radica en que OnePlus modificó el paquete estándar de Android Telephony, añadiendo nuevos proveedores exportables PushMessageProvider, PushShopProvider y ServiceNumberProvider. En sus manifiestos no se especifica el requisito de permisos para la operación READ_SMS, por lo que cualquier aplicación instalada obtiene acceso a los datos.
La situación se agrava por la falta de filtrado de las solicitudes entrantes: esto abre la posibilidad de una inyección SQL ciega, que permite reconstruir línea por línea el texto de los mensajes de la base de datos del dispositivo. Rapid7 mostró una prueba de concepto que confirma la posibilidad de extraer el contenido de los SMS al cumplirse una serie de condiciones, incluidas la existencia de filas en la tabla y la disponibilidad de operaciones de inserción.
Los investigadores comprobaron la vulnerabilidad en los modelos OnePlus 8T y OnePlus 10 Pro, constatando que el problema no está relacionado con hardware específico y afecta a todos los teléfonos de la marca que ejecutan versiones vulnerables de OxygenOS. Entre mayo y agosto de 2025 Rapid7 intentó contactar con la compañía siete veces, sin recibir respuesta. Tras la publicación del informe OnePlus declaró que inició una revisión interna; sin embargo, no ha anunciado plazos para la publicación de la corrección.
Hasta que haya una actualización, se recomienda a los usuarios minimizar la cantidad de aplicaciones instaladas, confiar solo en desarrolladores conocidos y abandonar la autenticación por SMS en favor de generadores de códigos de un solo uso. Para transmitir información confidencial es más seguro usar mensajería con cifrado de extremo a extremo completo, ya que los SMS en los dispositivos OnePlus no están debidamente aislados.
Las huellas digitales son tu debilidad, y los hackers lo saben