作者 ferr0204 (Ferr)
標題 [討論] OPPO系統存在APP不用權限可讀簡訊的漏洞
時間 Fri Oct  3 20:11:35 2025


最初來源:
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-
provider-permission-bypass-not-fixed/

縮網址:https://reurl.cc/2QqOQO
CVE-2025-10184: OnePlus OxygenOS Telephony provider permission bypass (NOT FIXED) Rapid7 has identified a permission bypass vulnerability in multiple versions of OnePlus OxygenOS installed on its Android smartphones, across multiple ...

 


美國資安廠商Rapid7發現海外一加使用的OxygenOS存在靠SQL注入手法,任何APP即可

在沒有權限允許下可讀用戶簡訊的漏洞,由於資安廠被OPPO放置Play五個月的情況下

選擇公開披露這個漏洞,隨後一加才表示正在調查此問題。


隨後根據網友測試CN版的ColorOS也有相同漏洞,

來源:https://www.v2ex.com/t/1162349

 
(簡中論壇不喜勿入)

OPPO跟realme都在其中,基本上是OPPO旗下的都有該漏洞並且橫跨數版本,但台版是

否在影響範圍內個人沒查到,但猜測也是中招。


由於漏洞是公開披露的狀態,在廠商OTA安全更新前使用者等於是裸奔,只能注意不要

使用不可靠的APP與平台,只是不知道舊手機有沒有救...

稍微看一下資安廠的文章真心覺得很扯,2025年居然可以靠SQL注入這種超簡單手法獲

得簡訊進而影響到二階段驗證的安全性,而且是橫跨數個系統版本...

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.230.178 (臺灣)
※ 作者: ferr0204 2025-10-03 20:11:35
※ 文章代碼(AID): #1etxrxj6 (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1759493499.A.B46.html
※ 編輯: ferr0204 (1.164.230.178 臺灣), 10/03/2025 20:12:37
LastAttack: 不然你要買蘋果?1F 10/03 20:15
Aerogel: 反正簡訊都是詐騙,給他看2F 10/03 20:17
shokotan: 手機都是後門 不要放機密資料最安全3F 10/03 20:41
snowwolf725: https://i.meee.com.tw/4dnFfzz.jpg
內測版本已修復該漏洞4F 10/03 20:58
[圖]
abc0922001: 廠商都要這樣才會修6F 10/03 21:37
avmm9898: 本來是要留一手 沒想到被發現了7F 10/03 21:39
spfy: SQL injection應該是前幾基本的漏洞了 到底是...8F 10/03 22:05
bill22413: 本來下一支想買Oppo的我....9F 10/03 22:15
x9898997: 那些有簡訊OTP自動填入的,我記得也都沒有授權,怎麼做到簡訊來自動填入?10F 10/03 22:42
Android系統的話是Google有提供OTP自動填入的API,可以到設定>Google>所有服務>
>自動填入與密碼>簡訊驗證碼 去開關
oude: 為了電池,下一隻考慮OPPO或realme的說...
怎麼像故意留的,被公開才改12F 10/03 23:17
※ 編輯: ferr0204 (1.164.230.178 臺灣), 10/03/2025 23:31:01
paul40807: OV米裡面O系統最穩定 但也僅止於表面功夫 反正橘子OS國際版快來了 這種傻逼漏洞撞死不修還是別買這家*裝死14F 10/03 23:34
hTCU11: 討論到安全性,剩沒幾家能用的17F 10/03 23:36
abc0922001: 真的喔,橘子OS要來了18F 10/03 23:41
nakts0123: 刷卡和很多二階段認證都用簡訊 被偷讀像資安裸奔19F 10/04 00:21
Hohenzollern: 畢竟是中華人民共和國企業20F 10/04 00:31
astrofluket6: 鄉民:美國資安廠商不可信 呵呵21F 10/04 00:47
WOGEchidna: 系統這個東西有一好沒兩好的,iOS沒有多工,V家殘缺+功能下放看心情22F 10/04 01:02
micnight9: 這種資安 一加還能在美國賣手機??24F 10/04 01:55
p40403: V國際版會給蘋果連接功能?會開放中國ai功能嗎25F 10/04 03:22
sincere77: 漏洞?後門?26F 10/04 08:36
tonyian: 連銀行驗證碼都越來越少簡訊,越來越多銀行app發送,應該是不用太緊張27F 10/04 09:03
cplusplus426: 呵繼續用中國機29F 10/04 09:36
jansan: 感覺不是漏洞 而是刻意留下的30F 10/04 10:32
haveastar: 直接繞過31F 10/04 11:37

--
作者 ferr0204 的最新發文: