S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Faille OnePlus : n’importe quelle application peut lire vos SMS, le correctif en octobre

OxygenOupS

Faille OnePlus : n’importe quelle application peut lire vos SMS, le correctif en octobre

Illustration : Flock

Depuis OxygenOS 12 (2021), les applications peuvent accéder aux SMS sans aucune autorisation. C’est un important problème de sécurité. OnePlus n’a pas répondu aux demandes préalables de Rapid7, qui a fini par rendre publique la vulnérabilité. OnePlus annonce l’arrivée d’un correctif pour mi-octobre.

Rapid7 est une société spécialisée dans la cybersécurité, qui publie des rapports sur des vulnérabilités depuis des années. Récemment, ils ont fait parler d’eux avec des failles sur des imprimantes multifonctions. Cette semaine, ils sont revenus à la charge avec une faille sur OxygenOS, le système d’exploitation (basé sur Android) de OnePlus pour ses smartphones.

Une faille présente sur OxygenOS 12 à 15

« Lorsqu’elle est exploitée, la vulnérabilité permet à toute application installée sur le smartphone de lire les SMS/MMS et les métadonnées […] sans autorisation, interaction ou consentement » de la part de l’utilisateur, explique l’entreprise. L’utilisateur n’est pas informé non plus d’un éventuel accès à ses messages.

Rapid7 explique, à juste titre, que « cela pourrait entraîner la divulgation d’informations sensibles et pourrait aussi casser la sécurité de l’authentification multifacteur (MFA) par SMS ». En effet, puisque n’importe quelle application peut lire les SMS, il serait facile de récupérer le code envoyé par SMS pour s’identifier.

La faille est d’autant plus sérieuse qu’elle concerne toutes les versions de OxygenOS depuis 2021, c’est-à-dire de la 12 à 15 (la dernière en date lancée fin 2024). Il faut en effet remonter à OxygenOS 11 en 2020 pour ne pas y être confrontée.

L’entreprise propose sur son blog une analyse technique de cette brèche, référencée sous le numéro CVE-2025-10184. Le score associé est de 8.2 sur 10 en CVSS 4.0. Elle est identifiée comme AV:L (Attack Vector Local), AC:L (Attack Complexity Low), AT:N (Attack Requirements None), PR:N (Privileges Required None), UI:P (User Interaction Passive), VC:H (Confidentiality High)…

Vous avez demandé le OnePlus Security Response Center… veuillez patienter

Il n’y a, selon Rapid7, pas de méthode d’atténuation pour le moment, ni de correctif. L’entreprise conseille donc de n’installer que des applications provenant de sources fiables, de faire le ménage et d’utiliser au maximum une authentification multifacteurs par autre chose qu’un SMS.

Au-delà de la faille, la réaction (ou du moins la non-réaction, selon Rapid7) de OnePlus est intéressante à analyser et relève presque du cas d’école. Rapid7 affirme avoir contacté le OnePlus Security Response Center le 1ᵉʳ mai, sans réponse. Après des relances en mai et juillet, le support répond le 3 juillet qu’il fait suivre la demande en interne.

En juillet et août, malgré des relances et une tentative de passer par Oppo (OnePlus et Oppo appartiennent au même groupe BBK Electronics Corporation, comme Vivo et Realme), toujours aucune réponse de OnePlus. La première prise de contact remonte alors déjà à plus de trois mois.

Le 23 septembre, soit déjà plus de quatre mois après le premier message, Rapid7 « considère OnePlus comme un fournisseur qui ne répond pas et divulgue publiquement la CVE-2025-10184 » via son blog. Magie d’Internet, le lendemain (24 septembre), « OnePlus répond à Rapid7 en reconnaissant cette faille et en déclarant qu’ils enquêtaient sur le problème ».

Comment en est-on arrivé à une telle situation alors que OnePlus propose un programme de récompenses pour la divulgation de failles depuis plusieurs années ? « Bien que OnePlus fasse la promotion d’un programme public de bug bounty, Rapid7 ne peut pas participer à son programme en raison de ses conditions générales restrictives de non-divulgation (NDA) ».

Le correctif arrive en octobre

À 9to5Google, un porte-parole de OnePlus affirme avoir préparé un correctif, mais qu’il faudra encore être patient : il sera « déployé mondialement via une mise à jour logicielle à partir de mi-octobre ». La société ne dit rien de plus sur les versions d’OxygenOS qui auront le droit à une mise à jour de sécurité.

L’entreprise termine par le blabla habituel en pareille situation : « OnePlus reste engagé à protéger les données de ses clients ».

Le timing n’est pas des plus heureux pour OnePlus, qui profite du lancement par Qualcomm de son nouveau SoC Snapdragon 8 Elite Gen 5 pour annoncer son smartphone OnePlus 15.

Commentaires (17)

votre avatar
Avec mon téléphone en 12.1 (One plus Nord) qui n'a plus de mises à jour depuis plusieurs années, je vais voir ce qu'ils font...

Edit : j'ai eu une mise à jour. Il est resté en 12.1 mais OnePlus a sorti un correctif pour la faille
Ça me ferait chier d'être obligé de changer.
votre avatar
OxygenOS est à mon avis le meilleur système, sans bloatware. C'est bien dommage ce mauvais traitement de failles... surtout qu'on reçoit toutes les mises à jour de sécurité mensuelles. Sur mes anciens OnePlus qui n'étaient plus mis à jour, j'ai installé Lineage qui tourne parfaitement.
votre avatar
Oui la marque est bien supporté par Lineage https://wiki.lineageos.org/devices/#oneplus et pas de procédure de déblocage compliqué.
Pour ceux qui veulent tester du Linux mobiles certains mobile sont même bien supporté par PostmarketOS (mais pour une utilisation quotidienne ça reste difficilement conseillable)
votre avatar
Concernant le Nord premier du nom (sous Android 12, dernière version compatible 21 sous Android 14), j'ai regardé, et je n'ai jamais pu avoir une confirmation fiable sur les fils de discussion que les integrity checks et consort étaient valides pour les applications bancaires, voir même les fonctions basées sur le NFC (genre Google Pay et Navigo).

Vous avez un retour d'expérience ?
votre avatar
Si tu installe les Google Apps https://wiki.lineageos.org/gapps/ et que tu ne root pas le téléphone tu ne devrais pas avoir beaucoup de soucis.

C'est plus casse tête quand on veux se passer complètement des services Google. Ça demande plus adaptation et de recherche que de suivre l'install officiel de Lineage (et l'utilisation de rom alternative ou de build custom).
Pas insurmontable non plus, dans mon cas je suis sur un Zenfone qui valide les tests d'intégrité avec microG et trois applis bancaire (Crédit Agricole, Banque Populaire Pro et Swan) qui fonctionne sans problème (authentification DSP2 des transactions compris).
Je n'utilise pas de wallet (la de toute façon sans Google Apps ça parait compliqué) donc pour ce type d'usage NFC je ne serais pas répondre (sur les communications NFC "classique" ça marche néanmoins).
votre avatar
Voilà une des raisons qui me font plus qu'hésiter à le faire sinon sur un téléphone de test.
votre avatar
Le One plus nord (tout court) n'est pas dans la liste... Et de toute façon j'ai jamais trouvé de procédure que je me sente capable d'appliquer.
votre avatar
Sur le site de Lineage OS, il faut désactiver le filtre qui exclue par défaut les modèles qui ne sont pas supportés par la dernière version de L'OS. Tu le trouveras sous le nom de code avicci (ou approchant). Je n'ai toujours pas testé.
votre avatar
Attention avec Revolut, ces @#!!! viennent encore de bloquer mon tel "Device unsupported" bien que je sois avec la rom officielle non-rootée et à jour. Juste le unlock du bootloader…
votre avatar
Voilà une raison suffisante pour moi de ne pas installer : j'ai BESOIN que ce genre d'appli marche. Et il faut que je sois sûr avant de mettre à jour sur un truc non officiel. Et que ça continuera à fonctioner.
votre avatar
Supprimé
votre avatar
J'ai fait le tri de quelques vieilles applis qui traînaient au cas où, en attendant la mise à jour sur mon OnePlus 12.

Merci à Next pour cet article :love: !
votre avatar
bon et bien nous verrons le sérieux (ou pas) de Oneplus sur cette faille, j'ai une OnePlus 7 pro que je souhaite changer cette année (fin de support Android 12) soit OnePlus patch mon tel et je continue ave eux, soit il ne le patch pas et je vais voir ailleurs
votre avatar
nous verrons le sérieux (ou pas) de Oneplus sur cette faille
ha bah en lisant la brève, je ne vois pas vraiment pas la question que tu te poses.
votre avatar
Si une appli sait lire mes SMS/MMS... boudiou qu'elle va rougir la pauvrette.
Elle va nous faire un divide by zero pour le coup....
votre avatar
Alors, elle a déjà disjoncté, puisqu’elle est en avance de faille (0-day.)
votre avatar
Update @SébastienGavois : je viens de recevoir la mise à jour CPH2581_15.0.0.863 (EX01V80P01) sur OnePlus 12.

Le changelog indiquait juste l'intégration des mises à jour de sécurité d'Android pour octobre 2025, mais vu le timing, ça colle également avec la mise à jour qu'ils ont promis sans qu'on puisse pour autant l'assurer.