محققای Rapid7 یک آسیب پذیری با شناسه ی CVE-2025-10184 و از نوع Blind SQL Injection، در سیستم عامل OxygenOS کشف و گزارش کردن که به یک برنامه، امکان دسترسی به داده ها و متادیتای SMS/MMS رو میده.
سیستم عامل OxygenOS، یک سیستم عامل مبتنی بر اندروید از شرکت چینی OnePlus، زیر مجموعه ی Oppo هستش.
محققا این آسیب پذیری رو یک مه، 11 اردیبهشت برای شرکت ارسال کردن، اما نتیجه ای نداشته، در نهایت گزارش فنی + PoC برای این آسیب پذیری رو بصورت عمومی منتشر کردن.
آسیب پذیری فعلا اصلاح نشده، بنابراین توصیه شده:
- برنامه های نصب شده روی گوشی رو به حداقل برسونید.
- به برنامه های معتبر از ناشران معتبر، اعتماد کنید.
- از احراز هویت دو عاملی مبتنی بر پیامک به برنامه های OTP مانند Google Authenticator مهاجرت کنید.
- با توجه به اینکه پیامک ها در دستگاههای OnePlus بدرستی ایزوله نشدن، توصیه شده ارتباطات حساس رو تنها از طریق اپلیکیشن های رمزگذاریشدهی سرتاسری (E2EE) انجام بدید.
- در ایران باید مراقب رمزهای دوم بانکی و ... هم باشیم.
#آسیب_پذیری_امنیتی
#PoC #OxygenOS #Oppo #OnePlus #CVE
⭐️ @ZeroSec_team
سیستم عامل OxygenOS، یک سیستم عامل مبتنی بر اندروید از شرکت چینی OnePlus، زیر مجموعه ی Oppo هستش.
محققا این آسیب پذیری رو یک مه، 11 اردیبهشت برای شرکت ارسال کردن، اما نتیجه ای نداشته، در نهایت گزارش فنی + PoC برای این آسیب پذیری رو بصورت عمومی منتشر کردن.
آسیب پذیری فعلا اصلاح نشده، بنابراین توصیه شده:
- برنامه های نصب شده روی گوشی رو به حداقل برسونید.
- به برنامه های معتبر از ناشران معتبر، اعتماد کنید.
- از احراز هویت دو عاملی مبتنی بر پیامک به برنامه های OTP مانند Google Authenticator مهاجرت کنید.
- با توجه به اینکه پیامک ها در دستگاههای OnePlus بدرستی ایزوله نشدن، توصیه شده ارتباطات حساس رو تنها از طریق اپلیکیشن های رمزگذاریشدهی سرتاسری (E2EE) انجام بدید.
- در ایران باید مراقب رمزهای دوم بانکی و ... هم باشیم.
#آسیب_پذیری_امنیتی
#PoC #OxygenOS #Oppo #OnePlus #CVE
⭐️ @ZeroSec_team
Rapid7
CVE-2025-10184: OnePlus OxygenOS Telephony provider permission bypass (NOT FIXED)
👍5