Sebuah kerentanan serius ditemukan pada OxygenOS (versi 12 hingga 15), sistem operasi berbasis Android milik OnePlus. Bug ini memungkinkan aplikasi apa pun yang terpasang di perangkat untuk mengakses data dan metadata SMS tanpa izin pengguna.
Detail Kerentanan
- ID: CVE-2025-10184
- Penemu: Rapid7
- Status: Belum ditambal (unpatched)
- Dampak: Aplikasi jahat bisa membaca isi SMS menggunakan teknik blind SQL injection.
Kerentanan muncul karena OnePlus melakukan modifikasi pada paket Android Telephony standar dengan menambahkan beberapa content provider baru, seperti:
PushMessageProviderPushShopProviderServiceNumberProvider
Sayangnya, provider ini tidak mendeklarasikan izin READ_SMS, sehingga secara default dapat diakses oleh aplikasi apa saja.
Cara Eksploitasi
- Penyerang bisa menggunakan SQL injection untuk mengekstrak isi SMS karakter demi karakter.
- Kondisi tertentu diperlukan, misalnya tabel
smsharus ada dalam database yang sama, atau penyerang bisa membuat dummy row jika kosong.
Rapid7 bahkan merilis proof-of-concept (PoC) yang membuktikan SMS bisa diekstrak dengan cara ini.
Perangkat yang Teruji Rentan
Rapid7 memastikan bug ini ada di beberapa perangkat berikut:
| Model | Versi OxygenOS | Build Number |
|---|---|---|
| OnePlus 8T | 12 | KB2003_11_C.3 |
| OnePlus 10 Pro 5G | 14 | NE2213_14.0.0.700(EX01) |
| OnePlus 10 Pro 5G | 15 | NE2213_15.0.0.502(EX01), 700(EX01), 901(EX01) |
Namun, karena kerentanan ini berasal dari komponen inti Telephony, kemungkinan besar semua perangkat OnePlus dengan OxygenOS 12–15 terdampak.
Respons OnePlus
- Rapid7 melaporkan bug ini sejak 1 Mei 2025, dan sudah melakukan 7 kali follow-up hingga 16 Agustus 2025, namun tidak mendapat respons.
- Setelah laporan dipublikasikan, barulah OnePlus mengakui masalah ini dan menyatakan sedang melakukan investigasi.
- Patch resmi belum tersedia.
Rekomendasi Keamanan
Sambil menunggu perbaikan resmi, pengguna OnePlus disarankan untuk:
- Minimalkan jumlah aplikasi terpasang dan hanya instal dari publisher terpercaya.
- Hindari 2FA berbasis SMS, gunakan aplikasi OTP seperti Google Authenticator atau Authy.
- Gunakan aplikasi pesan dengan enkripsi end-to-end (misalnya Signal, WhatsApp) untuk percakapan sensitif.
Sumber: Rapid7, BleepingComputer