Une vulnérabilité dans la version Android de OnePlus permet aux applications de lire les SMS et leur contenu sans l’autorisation de l’utilisateur. La faille n’est pas encore corrigée.
Des chercheurs en sécurité de Rapid7 ont découvert une faille dans OxygenOS. Il s’agit de l’interface Android utilisée par OnePlus dans ses téléphones. En raison d’une erreur dans ce système, les applications sur les appareils concernés peuvent accéder aux SMS et MMS sans l’autorisation de l’utilisateur. L’accès se fait de manière totalement invisible, sans notifications ni interaction.
La faille, désignée par CVE-2025-10184, exploite un composant Android sous-jacent qui gère les messages. Concrètement, il s’agit d’un fournisseur de contenu, qui est normalement protégé par des droits d’accès. Chez OnePlus, certaines parties de ce système semblent toutefois insuffisamment protégées, ce qui permet aux applications de demander des informations via des requêtes de recherche intelligentes, même lorsqu’elles n’ont officiellement pas accès aux messages.
Danger pour l’authentification multifacteur
Selon Rapid7, la faille est présente depuis la version 12 d’OxygenOS, sortie en 2021. Les chercheurs ont confirmé la présence de la faille, entre autres, sur les OnePlus 8T et OnePlus 10 Pro avec des versions logicielles récentes. Étant donné que la faille se trouve dans un composant central du système d’exploitation, il est très probable que d’autres appareils équipés d’OxygenOS 12, 13, 14 ou 15 soient également vulnérables.
Une application qui exploite cette faille peut lire secrètement le contenu des SMS. Cela permet, par exemple, d’intercepter les codes de sécurité pour l’authentification multifacteur (MFA).
lire aussi
Test du OnePlus Nord CE 5 : l’endurance avant la puissance
La vulnérabilité est particulièrement sensible, surtout dans les contextes où la surveillance constitue un risque, comme pour les gouvernements ou les activistes. Rapid7 avertit que tant les cybercriminels que les acteurs étatiques peuvent utiliser cette faille à des fins d’espionnage ou de vol de données.
Pas de correctif, mais de l’action
Rapid7 a tenté de contacter OnePlus à plusieurs reprises depuis mai 2025 au sujet de la faille. Le fabricant n’a réagi que le 24 septembre, un jour après que Rapid7 a rendu l’information publique. OnePlus a confirmé qu’il examinait le signalement, mais aucune solution n’est encore disponible. OnePlus devrait déployer un correctif dans le courant du mois d’octobre.
En attendant qu’une mise à jour de sécurité officielle soit disponible, Rapid7 recommande de :
- N’installer que des applications provenant de sources fiables.
- Remplacer l’authentification multifacteur basée sur les SMS par des applications d’authentification.
- Dans la mesure du possible, ne pas faire transiter d’informations sensibles par SMS.
- Passer à des applications avec chiffrement de bout en bout pour les échanges de messages.
Toutes ces suggestions sont de bons conseils, même en dehors du contexte de cette faille de sécurité.
Les utilisateurs d’appareils OnePlus feraient bien de revoir leurs applications et d’être particulièrement vigilants face à tout accès inattendu à leurs données.
Qu’en est-il d’Oppo ?
OnePlus est une filiale d’Oppo, qui vend également des téléphones sous sa propre marque dans notre pays. Les appareils Oppo fonctionnent sous ColorOS. Ce système d’exploitation a une apparence différente, mais présente de nombreuses similitudes avec OxygenOS sous le capot. Rapid7 n’a pas encore eu de nouvelles d’Oppo quant à l’existence d’un risque également avec ColorOS. ITdaily a également posé la question. Nous mettrons à jour cet article si nous recevons de plus amples informations à ce sujet.