OnePlusスマートフォンにおける大規模なSMS脆弱性が発見され、修正パッチが配信される予定であると発表しました。
今週初め、サイバーセキュリティ企業Rapid7は、OnePlus 8T以降の「複数バージョン」のOxygenOSにおいて、権限を回避する脆弱性を発見したと発表しました。この脆弱性は、標準のテレフォニーパッケージの変更によって、影響を受けたOnePlusデバイス上のアプリケーションが、許可やユーザーの同意なしにSMSやMMSデータおよびメタデータにアクセスできるようになるというものです。この方法でデータがアクセスされたかどうかを知る手段はありません。
Rapid7はこの脆弱性をCVE-2025-10184と名付け、発表前にOnePlusに連絡を試みましたが、成功しませんでした。月曜日に発表されたにもかかわらず、OnePlusがこの問題を認識したのは今週水曜日でした。
OnePlusの広報担当者は、9to5Googleに対して次のように述べました。「CVE-2025-10184の最近の開示を認識しており、修正を実施しました。この修正は10月中旬からソフトウェアアップデートを通じて世界中に配信されます。OnePlusは顧客データの保護に努め、セキュリティ改善を優先していきます。」
この問題がどのように発生したかについてですが、OnePlusはAndroid 12時代に標準のテレフォニーアプリを変更し、追加のコンテンツプロバイダーをサービスに組み込むようにしました。これにより、SMSメッセージの読み取り権限は付与されましたが、書き込み権限の追加がされておらず、これが脆弱性を引き起こしました。
OnePlusユーザーは、10月中旬にパッチが配信されるまで注意が必要です。Rapid7は、信頼できるソースからのみアプリをインストールし、不要なアプリを削除することを推奨しています。2FAログインのためのOTPテキストを受け取る場合は、SMS経由でコードが送信されないように、認証アプリに切り替えることをお勧めします。第三者のチャットアプリケーションに切り替えることも役立ちます。