Les utilisateurs de OnePlus devront accorder une attention particulière dans les semaines à venir, une vulnérabilité de sécurité sérieuse, découverte par la société Cybersecurity Rapid7, affecte différentes versions d’Oxygenos et permet d’accéder aux données SMS (et même à deux systèmes d’authentification à deux facteurs basés à deux facteurs) sans aucune autorité.
Le problème, identifié comme CVE-2025-10184, concerne les modifications introduites par OnePlus dans le package de téléphonie Android à partir d’Oxygenos 12, et pourrait affecter de nombreux modèles, notamment OnePlus 8T et OnePlus 10 Pro, a déjà été confirmé, mais d’autres appareils ne sont pas exclus. Une faille qui, si elle est exploitée, vous permet de soustraire des informations sensibles sans que l’utilisateur ne le remarque et qui, comme cela se produit souvent dans ces cas, a été rendue publique par la société déjà mentionnée seulement après des tentatives répétées pour contacter le fabricant.
Un défaut au cœur des smartphones OnePlus
Selon le rapport Rapid7, l’erreur est née de la décision OnePlus d’ajouter de nouveaux fournisseurs de contenu au service de téléphonie, en particulier PushMessageProverrs, Pushshopprosider et ServiceNumberPrier, sans déclarer correctement les permis d’écriture pour read_sms; En pratique, toute application installée sur l’appareil peut accéder aux messages texte et aux métadonnées connexes sans aucun consentement de l’utilisateur, en contournant l’autorisation Android Read_SMS qui protège normalement ce type d’informations.
Les experts parlent d’un cas de contournement classique d’autorisations, ce qui pourrait permettre aux SMS d’exflicr silencieusement, ouvrant la voie aux vols potentiels de codes OTP et donc à la connexion des systèmes de sécurité basés sur 2FA via SMS. Le risque ne concerne pas seulement les messages privés, mais aussi les notifications bancaires et les codes d’accès temporaire envoyés par les plateformes bancaires à domicile ou les réseaux sociaux, un terrain fertile pour quiconque souhaite mettre la main sur des données personnelles ou même vider un compte courant.
Les mêmes chercheurs ont démontré une vulnérabilité sur OnePlus 8T et 10 Pro, mais spécifient que d’autres modèles (y compris les plus récents) pourraient être intéressés; Ce n’est donc pas un problème isolé et, au moins pour le moment, il n’y a pas de moyen simple de comprendre si votre appareil a déjà été ciblé.
La réaction (lente) de OnePlus
Rapid7 a tenté plusieurs fois pour informer la société déjà en mai 2025, sans cependant obtenir des réponses concrètes; Ce n’est qu’après la publication du rapport, qui a eu lieu au début de la semaine, OnePlus a officiellement reconnu le défaut, confirmant qu’elle travaillait sur une correction. La vulnérabilité, comme l’expliquent les experts, n’est pas de ceux qui peuvent être ignorés, car il ouvre un canal dirigé vers les données les plus réservées de l’utilisateur.
Un porte-parole de la société a déclaré aux collègues de 9to5google Ce qui suit:
Nous avons pris note de la récente diffusion de l’erreur CVE-2025-10184 et avons mis en œuvre une correction. Ceci sera distribué à l’échelle mondiale via la mise à jour logicielle à partir du milieu d’octobre. OnePlus reste déterminé à protéger les données des clients et continuera de donner la priorité aux améliorations de la sécurité.
Un message rassurant de certains, mais qui ne supprime pas les semaines de silence qui ont précédé l’admission officielle, sept tentatives de contacter les chercheurs sont restées sans réponse; Un retard que, si d’une part, il n’est pas surprenant dans un secteur où les temps de réaction peuvent être lents, d’autre part, il souligne à quel point la gestion de la sécurité peut être délicate dans un contexte compétitif comme celui des smartphones Android.
Que faire en attendant une mise à jour
En attendant la mise à jour promise par OnePlus, Rapid7 Experts suggèrent d’adopter certaines précautions pour réduire le risque de compromis:
- Installez uniquement les applications à partir de sources fiables, telles que le Play Store officiel ou de développeurs reconnus, en évitant le marché alternatif et APK d’origine douteuse
- Supprimer les applications non essentielles, en particulier celles qui n’ont pas été utilisées depuis un certain temps et qui pourraient contenir une vulnérabilité
- Évitez l’authentification à deux facteurs via SMS, passant à des solutions plus sûres telles que les applications dédiées (Google Authenticator, Authy, Microsoft Authenticator et similaires)
- Évaluez, pour ceux qui utilisent souvent OTP via SMS, l’utilisation temporaire d’applications de messages alternatives pour les communications sensibles, afin de limiter l’exposition de données confidentielles
Ce sont des conseils qui peuvent sembler triviaux, mais qui prennent un poids spécifique énorme dans un scénario dans lequel une application malveillante, bien qu’apparemment inoffensive, pourrait intercepter les messages et les utiliser pour accéder aux banques, sociales ou en e-mail.
L’histoire montre à nouveau à quel point les personnalisations des producteurs Android sont délicates, une simple modification du package de téléphonie, introduit pour des raisons fonctionnelles, peut se transformer en une faille capable de compromettre des millions d’appareils; Et s’il est vrai que les mises à jour mensuelles de sécurité peuvent parfois sembler un inconfort, des épisodes comme celui-ci rappellent l’importance de garder le téléphone constamment mis à jour.
Le cas OnePlus met également en évidence un problème plus large, la lenteur avec laquelle certains producteurs réagissent aux rapports des chercheurs, tandis que les utilisateurs restent exposés à des risques concrets, obligé de se déplacer avec prudence et de changer les habitudes d’utilisation (pensez simplement à la nécessité de renoncer temporairement le 2FA via SMS).
Les utilisateurs de OnePlus devront donc attendre la mise à jour au milieu de l’octobre 2025, en continuant à suivre les recommandations de sécurité. Il reste à comprendre si, en plus des modèles déjà confirmés, d’autres smartphones de la maison chinoise seront également vulnérables.
