Investigadores de Rapid7 han revelado CVE-2025-10184, una falla crítica en múltiples versiones de OxygenOS (la ROM de OnePlus basada en Android) que permite a cualquier aplicación instalada acceder a contenido y metadatos de SMS sin solicitar permisos ni intervención del usuario. A la fecha del informe público, el problema no estaba corregido. La explotación ha sido verificada en dispositivos OnePlus 8T y OnePlus 10 Pro, y es muy probable que afecte a otros modelos que ejecuten las mismas ramas del sistema.
Raíz técnica: proveedores de contenido expuestos en Android Telephony
El origen del fallo reside en modificaciones de OnePlus al paquete estándar Android Telephony. La compañía añadió proveedores de contenido exportados —entre ellos PushMessageProvider, PushShopProvider y ServiceNumberProvider— sin aplicar controles de permisos coherentes con el modelo de Android. En consecuencia, cualquier app puede interactuar con estos proveedores sin contar con permisos como READ_SMS.
Además, los parámetros de entrada no se validan ni depuran de forma adecuada, lo que abre la puerta a SQLi ciega. Mediante consultas cuidadosamente construidas, un atacante puede inferir el contenido de los SMS y sus metadatos carácter por carácter, observando la respuesta de operaciones como update o códigos de retorno.
Alcance: versiones afectadas y dispositivos
Rapid7 señala impacto en OxygenOS 12 a 15 (incluida la versión basada en Android 15). Dado que se trata de un componente de sistema y no de un defecto de hardware, otros modelos de OnePlus que ejecuten estas versiones podrían ser vulnerables. La verificación de explotación se realizó en OnePlus 8T y OnePlus 10 Pro con distintas compilaciones del paquete Telephony.
Riesgos prácticos: del robo de OTP a elusión de controles antifraude
El acceso silencioso a SMS permite capturar códigos de un solo uso (OTP/2FA), notificaciones bancarias, enlaces de restablecimiento de contraseña y comunicaciones sensibles. La amenaza no se limita a malware manifiesto: SDKs de terceros integrados en apps legítimas pueden convertirse en vectores de abuso si aprovechan proveedores expuestos. El impacto es especialmente grave porque quiebra la lógica de permisos de Android que normalmente protege SMS frente a apps sin autorización explícita.
Por qué este fallo rompe el modelo de seguridad de Android
Android exige permisos explícitos para acceder a SMS y que los proveedores exportados validen permisos y filtren consultas. En este caso, la combinación de exportación sin controles y falta de saneamiento permite extracción de datos vía SQLi ciega, incluso sin realizar selecciones directas. Organismos como NIST SP 800-63B ya advierten de los riesgos intrínsecos del canal SMS para 2FA, y ENISA viene señalando el interés sostenido de atacantes en interceptar códigos OTP. Este CVE añade un vector local adicional a ese panorama.
Mitigaciones recomendadas hasta que llegue el parche
Reducir superficie de ataque: desinstale apps que no use, instale solo desde fuentes confiables y revise el inventario de permisos. Evite tiendas no oficiales y habilite servicios de protección como Google Play Protect.
Evitar SMS como segundo factor: temporalmente prefiera TOTP (por ejemplo, Google Authenticator), passkeys o llaves de seguridad FIDO2 donde sea posible.
Proteger comunicaciones sensibles: migre conversaciones críticas a mensajería con cifrado de extremo a extremo mientras se distribuyen correcciones.
Entornos corporativos: aplique políticas MDM/EMM con listas blancas, restricción de fuentes de instalación, monitorización de eventos y detección de comportamientos anómalos en apps y SDKs.
Respuesta de OnePlus y próximos pasos
Tras la publicación de Rapid7, OnePlus reconoció el problema e indicó que está investigándolo. Los usuarios deben instalar de inmediato las actualizaciones de seguridad en cuanto estén disponibles y seguir las guías del fabricante. Verifique periódicamente actualizaciones en Ajustes > Sistema > Actualizaciones del sistema y consulte boletines de OnePlus y la base CVE.
Este incidente demuestra que pequeñas desviaciones de las mejores prácticas de la plataforma pueden anular salvaguardas críticas. Mantener un conjunto mínimo de apps, sustituir el 2FA por SMS por TOTP o passkeys y aplicar parches con rapidez reduce drásticamente la ventana de exposición. Siga atento a los avisos del proveedor y adopte controles de seguridad proactivos para preservar la confidencialidad de sus cuentas y mensajes.
