El OnePlus 15 está a la dorso de la vértice, pero la compañía tiene peces más grandes para freír en este momento. Se ha descubierto una vulnerabilidad masiva de SMS en los teléfonos inteligentes OnePlus, y aunque aún no se ha parcheado, la buena nueva es una opción en camino.

A principios de esta semana, firma de ciberseguridad Rapid7 Lanzó sus hallazgos en torno a una exploit de derivación de permiso que se encuentra en oxígeno de “múltiples versiones” que datan de regreso a Oxygenos 12 en OnePlus 8T (H/T Computadora sangrante). Efectivamente, conveniente a las modificaciones realizadas en el paquete de telefonía standard, dejó la aplicación abierta al exceso, permitiendo que cualquier aplicación instalada en un dispositivo OnePlus afectado acceda a los datos de SMS y MMS, anejo con metadatos, “sin permiso, interacción del beneficiario o consentimiento”. Siquiera hay forma de aprender si se ha accedido a sus datos de esta forma.

Rapid7 Intentó comunicarse con OnePlus meses ayer de anunciar su descubrimiento de esta vulnerabilidad, que se denomina CVE-2025-10184, sin éxito. A pesar de la publicación el lunes, la compañía no reconoció el problema hasta el miércoles de esta semana, cuando OnePlus confirmó que estaba al tanto de la exploit.

Un portavoz de OnePlus dio 9to5google la venidero testimonio:

Anuncio – Desplácese por más contenido

Reconocemos la flamante divulgación de CVE-2025-10184 y hemos implementado una opción. Esto se implementará a nivel mundial a través de la puesta al día de software a partir de mediados de octubre. OnePlus permanece comprometido con la protección de los datos del cliente y continuará priorizando las mejoras de seguridad.

En cuanto a cómo sucedió esto, esencialmente, OnePlus aparentemente modificó la aplicación de telefonía de stock en los días de Android 12, este error no existe en OxyGenos 11, para anexar proveedores de contenido adicionales al servicio, incluidos los siguientes tres listados:

• com.android.providers.telephony.pushmessageProvider
• com.android.providers.telephony.pushshopprovider
• com.android.providers.telephony.serviceNumberProvider

Modificar este paquete no es inherentemente malo, obviamente, pero cuando se proxenetismo de poco que puede proporcionar entrada de recital y escritura a mensajes almacenados en el dispositivo, debe tomar medidas adicionales para comprobar de que no esté dejando vulnerabilidades, y eso es exactamente lo que sucedió aquí. Mientras que OnePlus asignó permisos de recital para mensajes SMS a estos proveedores, no pudo anexar escribir permisos, que, como Rapid7La publicación de blog dice: “Puede permitir que las aplicaciones de los clientes realicen operaciones de escritores, si la operación de escritura relevante (…) se implementa en el interior del proveedor”.

Por ahora, los usuarios de OnePlus deben pisar con cautela hasta que ese parche salga a mediados de octubre. Rapid7 sugiere solo instalar aplicaciones de fuentes conocidas y eliminar todas las aplicaciones no esenciales. Si recibe textos OTP para inicios de sesión de 2FA, asimismo querrá cambiar a una aplicación de autenticador lo ayer posible para evitar que su código se envíe a través de SMS. Cambiar a una aplicación de chat de terceros asimismo puede ayudar a este respecto.