La société de cybersécurité Rapid7 a identifié une vulnérabilité critique dans de nombreuses versions d’OxygenOS, le système d’exploitation des smartphones OnePlus.
Cette faille, baptisée CVE-2025-10184, permet à n’importe quelle application installée sur un téléphone de lire le contenu et les métadonnées de tous les SMS et MMS, et ce, sans aucune permission ni interaction de l’utilisateur.
Comment fonctionne la faille ?
Le problème provient d’une modification apportée par OnePlus à un composant central d’Android lors du passage à OxygenOS 12. En ajoutant de nouvelles fonctionnalités, les développeurs ont omis de définir correctement les permissions d’écriture. Cette faille de configuration permet à une application malveillante d’utiliser une technique appelée « injection SQL à l’aveugle » pour extraire, caractère par caractère, le contenu de la base de données des messages.
Le risque est critique, car la faille permet de voler des informations sensibles, et notamment les codes d’authentification à deux facteurs (2FA) souvent reçus par SMS, le tout de manière totalement invisible pour l’utilisateur.
Parfois, il vaut mieux réfléchir à deux fois avant de choisir son smartphone… L’innovation et la performance du HONOR 400, plus accessibles que jamais. Offre disponible jusqu’au 07/10
Quels sont les appareils concernés ?
Puisqu’il s’agit d’une faille logicielle et non matérielle, un grand nombre d’appareils est concerné.
La vulnérabilité a été introduite avec OxygenOS 12 et est présente sur toutes les versions ultérieures jusqu’à OxygenOS 15.
Les versions antérieures, comme OxygenOS 11, ne sont pas affectées. Néanmoins, le dernier smartphone à ne pas avoir pu recevoir OxygenOS 12 est le OnePlus 6T, sorti en 2018.
Tous les appareils OnePlus lancés depuis sont touchés par cette brèche de l’interface.
Que faire en attendant le correctif ?
Rapid7 explique avoir tenté de joindre OnePlus depuis mai dernier, mais sans succès. Il a fallu attendre la publication de son rapport en septembre pour que le constructeur chinois réagisse.
L’entreprise a reconnu la vulnérabilité et a promis qu’un correctif serait déployé via une mise à jour logicielle à partir de la mi-octobre.
Nous avons contacté OnePlus afin d’avoir de plus amples informations. Nous a été indiqué qu’une déclaration officielle était en cours, nous mettrons à jour cet article dès que nous l’aurons entre les mains.
En attendant, il est recommandé aux utilisateurs de prendre des précautions :
- N’installez que des applications provenant de sources fiables et supprimez toutes les applications non essentielles.
- Abandonnez l’authentification à deux facteurs par SMS au profit d’une application dédiée comme Google Authenticator.
- Utilisez des messageries chiffrées de bout en bout (comme WhatsApp ou Signal) pour vos conversations sensibles, plutôt que les SMS.
Pour aller plus loin
OnePlus 15 : le nouveau smartphone qui mise tout sur le jeu vidéo et plus encore
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix