サイバーニュース.jp

世界のサイバーなニュースを配信

OnePlus OxygenOSの脆弱性により、アプリがユーザー許可なくSMSデータにアクセス可能に

カテゴリ:

, , , , , , , , ,

OnePlus OxygenOSに新たな脆弱性が発見され、デバイス上の任意のアプリがユーザーの許可なくSMSおよびMMSメッセージを読み取れることが明らかになりました。CVE-2025-10184として追跡されているこの問題は、Telephonyコンテンツプロバイダー(com.android.providers.telephony)における権限バイパスに起因します。通常、アプリがテキストメッセージにアクセスするには、AndroidのREAD_SMS権限を保持し、ユーザーにプロンプトを表示する必要があります。しかし、影響を受けるOxygenOSビルドでは、コア内部プロバイダーがデフォルトでオープンアクセスを許可しています。これにより、アプリはユーザーの同意や通知なしに、メッセージデータやメタデータを密かに照会できてしまいます。

**CVE詳細**
CVE-2025-10184は、OxygenOS 12および15を実行している複数のOnePlusデバイスに影響を与えます。Rapid7の研究者たちは、OnePlus 8T(OxygenOS 12、ビルドKB2003_11_C.33)およびOnePlus 10 Pro 5G(OxygenOS 15、ビルドNE2213_15.0.0.502およびNE2213_15.0.0.901)でこの脆弱性を確認しました。

* **CVE ID**: CVE-2025-10184
* **脆弱性の説明**: Telephonyプロバイダーの権限バイパスにより、任意のアプリが同意なしにSMS/MMSデータにアクセス可能
* **影響を受けるOxygenOSバージョン**: 12, 14, 15

OnePlusは、適切な権限チェックなしに、PushMessageProvider、PushShopProvider、ServiceNumberProviderという3つの追加コンテンツプロバイダーを導入していました。これらのプロバイダーは、任意のアプリによる読み取りおよび書き込み操作を許可します。ServiceNumberProviderの更新メソッドにはブラインドSQLインジェクションの脆弱性があり、悪意のあるアプリがREAD_SMSの強制を回避し、SMSコンテンツを1文字ずつ推測して抽出することを可能にします。

テキストメッセージは、ワンタイムコードや個人的なコミュニケーションに広く使用されており、この脆弱性は深刻なプライバシーおよびセキュリティリスクをもたらします。アプリは、SMS経由で送信された銀行、電子メール、ソーシャルメディアの認証コードを密かに盗む可能性があります。悪意のあるソフトウェアは、リアルタイムで受信メッセージを収集する可能性があり、国家支援の攻撃者や抑圧的な政権は、この問題を大規模な監視に悪用するかもしれません。この脆弱性は、SMSベースの多要素認証保護を事実上無効にし、テキストメッセージ認証に対するユーザーの信頼を損ないます。

Rapid7は2025年9月22日にアドバイザリを公開し、CVE-2025-10184が未修正であることを指摘しました。OnePlusの公開バグバウンティプログラムを通じた調整の試みは、制限的な非開示条項のために失敗しました。9月24日、OnePlusはこの報告を認め、調査中であることを確認しました。セキュリティアップデートのスケジュールは発表されておらず、パッチがリリースされるまでユーザーは危険にさらされたままです。

ベンダーによる修正を待つ間、ユーザーは以下の対策を講じるべきです。

* **信頼できるアプリのみをインストールする**: 不要なアプリケーションを削除し、インストールを検証済みのソースに限定します。
* **認証方法を切り替える**: SMSベースの多要素認証を認証アプリに置き換えます。
* **暗号化されたメッセージングを使用する**: 標準のSMSではなく、エンドツーエンドで暗号化されたサービスを優先します。
* **プッシュ通知を選択する**: 利用可能な場合、重要なアラートをSMSからアプリ内通知に切り替えます。

セキュリティチームおよびモバイルデバイス管理者は、不審なSMSアクセスがないかインストールされているアプリを監査し、厳格な権限ポリシーを適用する必要があります。OnePlusが修正をリリースするまで、積極的なアプリの衛生管理とMFAのベストプラクティスが、機密メッセージデータへの不正アクセスに対する最も強力な防御策となります。

元記事: [https://gbhackers.com/oneplus-oxygenos-vulnerability-lets-apps-access-sms-data-without-user-permission/](https://gbhackers.com/oneplus-oxygenos-vulnerability-lets-apps-access-sms-data-without-user-permission/)

投稿をさらに読み込む