最初來源:
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-
provider-permission-bypass-not-fixed/
縮網址:https://reurl.cc/2QqOQO
美國資安廠商Rapid7發現海外一加使用的OxygenOS存在靠SQL注入手法,任何APP即可
在沒有權限允許下可讀用戶簡訊的漏洞,由於資安廠被OPPO放置Play五個月的情況下
選擇公開披露這個漏洞,隨後一加才表示正在調查此問題。
隨後根據網友測試CN版的ColorOS也有相同漏洞,
來源:https://www.v2ex.com/t/1162349
(簡中論壇不喜勿入)
OPPO跟realme都在其中,基本上是OPPO旗下的都有該漏洞並且橫跨數版本,但台版是
否在影響範圍內個人沒查到,但猜測也是中招。
由於漏洞是公開披露的狀態,在廠商OTA安全更新前使用者等於是裸奔,只能注意不要
使用不可靠的APP與平台,只是不知道舊手機有沒有救...
稍微看一下資安廠的文章真心覺得很扯,2025年居然可以靠SQL注入這種超簡單手法獲
得簡訊進而影響到二階段驗證的安全性,而且是橫跨數個系統版本...