🛡 概要
OnePlusのOxygenOSに存在するCVE-2025-10184という脆弱性が、インストールされたアプリにSMSデータへのアクセスを許可しています。この脆弱性は、ユーザーの許可や操作を必要とせず、SMSデータやメタデータにアクセスできるため、重大なセキュリティリスクを伴います。OnePlusはこの問題を把握しているものの、未だにパッチを提供しておらず、悪用される危険性が高まっています。特に、SMSを利用した二要素認証の安全性が脅かされるため、注意が必要です。
🔍 技術詳細
この脆弱性は、OnePlusが標準AndroidのTelephonyパッケージを変更したことに起因しています。具体的には、PushMessageProviderやPushShopProvider、ServiceNumberProviderなどのエクスポートされたコンテンツプロバイダが追加されており、これらは’READ_SMS’の書き込み権限を宣言していません。そのため、SMS権限を持たないアプリでもデフォルトでアクセス可能です。また、クライアント提供の入力がサニタイズされていないため、「盲目的SQLインジェクション」が可能となり、デバイスのデータベースからSMS内容を再構築することができます。これは、ある条件が満たされれば、SMS内容を推測することができるという脅威を生じさせます。
⚠ 影響
この問題は、OxygenOSのバージョン12から最新の15まで、すべてのバージョンに影響を及ぼします。Rapid7の研究者は、OnePlus 8Tおよび10 Proでこの脆弱性を確認しましたが、他のOnePlusデバイスにも影響が及ぶ可能性が高いと指摘しています。具体的には、SMSを利用した二要素認証の安全性が脅かされ、悪意のあるアプリによってSMS内容が漏洩する恐れがあります。OnePlusは問題を認識しているものの、依然として具体的な対応策を発表していないため、利用者への影響は深刻です。
🛠 対策
現時点でパッチが提供されていないため、OnePlusデバイスにインストールするアプリの数を最小限に抑えることが推奨されます。信頼できるパブリッシャーのアプリのみを使用し、SMSベースの二要素認証からGoogle AuthenticatorなどのOTPアプリに切り替えることが重要です。また、OnePlusデバイス上での敏感な通信は、エンドツーエンド暗号化されたアプリで行うべきです。この脆弱性が修正されるまで、慎重な行動が求められます。
