Un fallo en los móviles de OnePlus permite a cualquier aplicación acceder a los mensajes de texto

OnePlus irrumpió en el mercado de los teléfonos móviles inteligentes a mediados de 2014 con el OnePlus One, un smartphone diseñado para competir en la gama alta por sus avanzadas características, pero manteniendo un precio mucho más asequible y atractivo para los consumidores. Una de las cosas que más llamó la atención del dispositivo fue que ejecutara CyanogenMod 11S, una versión personalizada de CyanogenMod (sistema operativo móvil de código abierto basado en el Android de Google), que hace unos años fue sustituida por LineageOS.

Aunque durante años los teléfonos móviles inteligentes de OnePlus fueron apodados como flagship killers (lo que vendría a ser algo como "asesinos" de la gama alta), ya no generan tanta atención como antaño por varios motivos. El más importante es que ahora cuestan casi lo mismo que el Samsung Galaxy S o iPhone de turno, perdiendo así la esencia de buque insignia accesible. El segundo, porque hay bastante más competencia en el mismo nicho: Xiaomi, Realme, Motorola, los Pixel de Google y hasta Samsung con la línea Galaxy A. Y el tercero, pero no menos importante, por la fusión operacional con OPPO, perdiendo parte de su imagen "rebelde".

A pesar de que su época dorada ya pasó, los dispositivos de OnePlus (que se parecen cada vez más a los de OPPO porque la capa de personalización OxygenOS se ha mimetizado bastante con ColorOS) continúan siendo bastante buenos, tanto a nivel de características como de rendimiento. No obstante, se ha descubierto una vulnerabilidad que pone en peligro la privacidad de los usuarios.

Hasta que haya una solución, se recomienda tener únicamente instaladas apps procedentes de editores confiables

La empresa de ciberseguridad Rapid7, que ofrece una plataforma en la nube para ayudar a las organizaciones a gestionar la seguridad de sus sistemas y detectar, así como responder, a amenazas cibernéticas para reducir las vulnerabilidades, ha descubierto un fallo en múltiples versiones de OxygenOS que ponen en peligro los datos de los usuarios con teléfonos de OnePlus.

Concretamente, la vulnerabilidad, identificada como CVE-2025-10184, permite que cualquier aplicación instalada en el dispositivo acceda a los datos y metadatos de los mensajes de texto (SMS) sin requerir permiso o interacción del usuario. Aunque OnePlus no ha hecho declaraciones sobre el fallo de seguridad (el cual, dicho sea de paso, todavía no ha sido parcheado, por lo que es explotable), Rapid7 ha publicado los detalles técnicos junto con un exploit de prueba de concepto (PoC).

Parece ser que el origen del problema se encuentra en la decisión de OnePlus de cambiar el paquete de telefonía Android estándar para introducir proveedores de contenido exportado adicionales como PushMessageProvider, PushShopProvider y ServiceNumberProvider. El manifiesto de estos proveedores no declara un permiso de escritura para 'READ_SMS', dejándolo abierto a cualquier aplicación de forma predeterminada, incluso aquellas que no tienen los permisos necesarios para acceder a los SMS.

Al utilizar un algoritmo para repetir este proceso para cada carácter en cada fila devuelta por la subconsulta, es posible filtrar el contenido de la base de datos, utilizando el valor de retorno del método de actualización como un indicador de verdadero/falso

Por si fuera poco, las entradas proporcionadas por el cliente no se desinfectan, lo que permite una "inyección SQL ciega" que podría reconstruir el contenido de los SMS desde la base de datos del dispositivo, forzándolo carácter por carácter. Entonces, aunque el permiso de lectura para SMS está configurado correctamente, el permiso de escritura no lo está, lo que permite inferir el contenido de los SMS.

El fallo de seguridad está vigente en todas las versiones de OxygenOS, desde la 12 hasta la última, que es la 15 (la más reciente, basada en Android 15). Rapid7 confirmó la vulnerabilidad en los teléfonos OnePlus 8T y 10 Pro, que cuentan con distintas versiones de OxygenOS y números de paquetes de telefonía. Después de no recibir respuesta de OnePlus a siete intentos de comunicación, la empresa de seguridad decidió revelar públicamente los detalles de CVE-2025-10184.