Si vous avez un joli smartphone OnePlus, vous allez être content d’apprendre qu’il s’y cache une faille critique découverte par Rapid7 ! Et quand je dis critique c’est pas pour rigoler puisque depuis 4 ans, n’importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant.

Estampillée CVE-2025-10184, cette faille touche tous les OnePlus équipés de OxygenOS 12 à 15. En 2021, OnePlus a en effet bidouillé le package Telephony d’Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n’existaient pas dans Android stock et ont été inventés par les équipes OnePlus / Oppo pour on ne sait quelle raison obscure.

Mais le problème, c’est que ces trois compères ont été codés avec les pieds puisque leurs manifests ne demandent pas la permission READ_SMS pour accéder aux textos. Du coup, n’importe quelle app installée sur le téléphone peut aller fouiller dans les messages comme si c’était tiroir à chaussettes, simplement à l’aide de quelques injections SQL.

Rapid7 a testé ça sur des OnePlus 8T et OnePlus 10 Pro et ça marche nickel. Vos codes de vérification bancaire, vos codes 2FA, vos conversations privées, tout y passe…

Bien sûr, Rapid7 a essayé de contacter OnePlus, 7 fois entre mai et août 2025. Et pas de réponse. OnePlus a fait l’autruche espérant surement que le problème disparaitrait de lui-même… Technique éprouvée, mais qui ne fonctionne pas du tout quand il s’agit de cybersécurité.

C’est donc seulement après la publication publique de la faille en septembre que OnePlus a daigné répondre : “Nous avons lancé une investigation”. Ah ben merci les gars, vous auriez pas pu la lancer 7 mois plus tôt, mais bon, breeef, passons…

Donc à l’heure où j’écris ces lignes, il n’y a toujours pas de correctif. OnePlus continue de vendre des téléphones vulnérables en toute connaissance de cause et tout va bien. Voilà, donc en attendant le patch hypothétique, voici mes quelques conseils de survie :

1. Virez les apps que vous n’utilisez pas
2. Passez aux outils 2FA plutôt que de recevoir vos codes 2FA par SMS
3. Utilisez des messageries chiffrées de bout-en-bout pour vos conversations sensibles

Bref, voilà encore une optimisation marketing qui fout la merde dans un système à la base sûr… Chapeau les artistes !

Source