作者 ferr0204 (Ferr)標題 [討論] OPPO系統存在APP不用權限可讀簡訊的漏洞時間 Fri Oct 3 20:11:35 2025
最初來源:
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-
provider-permission-bypass-not-fixed/
縮網址:
https://reurl.cc/2QqOQO
美國資安廠商Rapid7發現海外一加使用的OxygenOS存在靠SQL注入手法,任何APP即可
在沒有權限允許下可讀用戶簡訊的漏洞,由於資安廠被OPPO放置Play五個月的情況下
選擇公開披露這個漏洞,隨後一加才表示正在調查此問題。
隨後根據網友測試CN版的ColorOS也有相同漏洞,
來源:
https://www.v2ex.com/t/1162349
(簡中論壇不喜勿入)
OPPO跟realme都在其中,基本上是OPPO旗下的都有該漏洞並且橫跨數版本,但台版是
否在影響範圍內個人沒查到,但猜測也是中招。
由於漏洞是公開披露的狀態,在廠商OTA安全更新前使用者等於是裸奔,只能注意不要
使用不可靠的APP與平台,只是不知道舊手機有沒有救...
稍微看一下資安廠的文章真心覺得很扯,2025年居然可以靠SQL注入這種超簡單手法獲
得簡訊進而影響到二階段驗證的安全性,而且是橫跨數個系統版本...
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.230.178 (臺灣)
※ 作者: ferr0204 2025-10-03 20:11:35
※ 文章代碼(AID): #1etxrxj6 (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1759493499.A.B46.html
※ 編輯: ferr0204 (1.164.230.178 臺灣), 10/03/2025 20:12:37
推 Aerogel: 反正簡訊都是詐騙,給他看2F 10/03 20:17
推 shokotan: 手機都是後門 不要放機密資料最安全3F 10/03 20:41
→ avmm9898: 本來是要留一手 沒想到被發現了7F 10/03 21:39
→ spfy: SQL injection應該是前幾基本的漏洞了 到底是...8F 10/03 22:05
推 x9898997: 那些有簡訊OTP自動填入的,我記得也都沒有授權,怎麼做到簡訊來自動填入?10F 10/03 22:42
Android系統的話是Google有提供OTP自動填入的API,可以到設定>Google>所有服務>
>自動填入與密碼>簡訊驗證碼 去開關
推 oude: 為了電池,下一隻考慮OPPO或realme的說...
怎麼像故意留的,被公開才改12F 10/03 23:17
※ 編輯: ferr0204 (1.164.230.178 臺灣), 10/03/2025 23:31:01
推 paul40807: OV米裡面O系統最穩定 但也僅止於表面功夫 反正橘子OS國際版快來了 這種傻逼漏洞撞死不修還是別買這家*裝死14F 10/03 23:34
推 hTCU11: 討論到安全性,剩沒幾家能用的17F 10/03 23:36
推 nakts0123: 刷卡和很多二階段認證都用簡訊 被偷讀像資安裸奔19F 10/04 00:21
→ WOGEchidna: 系統這個東西有一好沒兩好的,iOS沒有多工,V家殘缺+功能下放看心情22F 10/04 01:02
推 micnight9: 這種資安 一加還能在美國賣手機??24F 10/04 01:55
推 p40403: V國際版會給蘋果連接功能?會開放中國ai功能嗎25F 10/04 03:22
→ tonyian: 連銀行驗證碼都越來越少簡訊,越來越多銀行app發送,應該是不用太緊張27F 10/04 09:03
推 jansan: 感覺不是漏洞 而是刻意留下的30F 10/04 10:32
--