El OnePlus 15 está a la vuelta de la esquina, pero la compañía tiene peces más grandes para freír en este momento. Se ha descubierto una vulnerabilidad masiva de SMS en los teléfonos inteligentes OnePlus, y aunque aún no se ha parcheado, la buena noticia es una solución en camino.
A principios de esta semana, firma de ciberseguridad Rapid7 Lanzó sus hallazgos en torno a una exploit de derivación de permiso que se encuentra en oxígeno de “múltiples versiones” que datan de regreso a Oxygenos 12 en OnePlus 8T (H/T Computadora sangrante). Efectivamente, debido a las modificaciones realizadas en el paquete de telefonía estándar, dejó la aplicación abierta al abuso, permitiendo que cualquier aplicación instalada en un dispositivo OnePlus afectado acceda a los datos de SMS y MMS, junto con metadatos, “sin permiso, interacción del usuario o consentimiento”. Tampoco hay forma de saber si se ha accedido a sus datos de esta manera.
Rapid7 intentó contactar a OnePlus meses antes de publicar su descubrimiento de esta vulnerabilidad, que se denomina CVE-2025-10184, sin éxito. A pesar de la publicación el lunes, la compañía no reconoció el problema hasta el miércoles de esta semana, cuando OnePlus confirmó que estaba al tanto de la exploit.
Un portavoz de OnePlus le dio a 9to5Google la siguiente declaración:
Anuncio – Desplácese por más contenido
Reconocemos la reciente divulgación de CVE-2025-10184 y hemos implementado una solución. Esto se implementará a nivel mundial a través de la actualización de software a partir de mediados de octubre. OnePlus permanece comprometido con la protección de los datos del cliente y continuará priorizando las mejoras de seguridad.
En cuanto a cómo sucedió esto, esencialmente, OnePlus aparentemente modificó la aplicación de telefonía de stock en los días de Android 12, este error no existe en OxyGenos 11, para agregar proveedores de contenido adicionales al servicio, incluidos los siguientes tres listados:
com.android.providers.telephony.pushmessageProvider com.android.providers.telephony.pushshopprovider com.android.providers.telephony.serviceNumberProvider
Modificar este paquete no es inherentemente malo, obviamente, pero cuando se trata de algo que puede proporcionar acceso de lectura y escritura a mensajes almacenados en el dispositivo, debe tomar medidas adicionales para asegurarse de que no esté dejando vulnerabilidades, y eso es exactamente lo que sucedió aquí. Si bien OnePlus asignó permisos de lectura para mensajes SMS a estos proveedores, no pudo agregar permisos de escritura, que, como dice la publicación de blog de Rapid7, “puede permitir que las aplicaciones de los clientes realicen operaciones de escritores, si la operación de escritura relevante (…) se implementa dentro del proveedor”.
Por ahora, los usuarios de OnePlus deben pisar con cautela hasta que ese parche salga a mediados de octubre. Rapid7 sugiere solo instalar aplicaciones de fuentes conocidas y eliminar todas las aplicaciones no esenciales. Si recibe textos OTP para inicios de sesión de 2FA, también querrá cambiar a una aplicación de autenticador lo antes posible para evitar que su código se envíe a través de SMS. Cambiar a una aplicación de chat de terceros también puede ayudar a este respecto.
FTC: Utilizamos ingresos que ganan enlaces de afiliados para automóviles. Más.
