Une faille de sécurité critique a été découverte sur de nombreux smartphones OnePlus, permettant à n’importe quelle application d’accéder aux SMS et MMS sans autorisation.
La vulnérabilité, identifiée comme CVE-2025-10184 par la société de cybersécurité Rapid7, touche toutes les versions d’OxygenOS depuis la version 12.
En raison d’une mauvaise configuration de l’application de téléphonie, toute application installée peut lire l’intégralité des messages et leurs métadonnées, sans permission ni action de l’utilisateur et sans laisser de trace.
La faille remonte à une modification lors du passage à Android 12, où les autorisations d’accès aux messages n’ont pas été correctement sécurisées. Rapid7 avait alerté OnePlus il y a plusieurs mois, sans réponse. Ce n’est qu’après la divulgation publique que le fabricant a confirmé connaître le problème et annoncé un correctif prévu pour la mi-octobre.
Dans un communiqué, OnePlus a déclaré : « Nous avons pris connaissance de la récente divulgation de CVE-2025-10184 et avons mis en place un correctif. Celui-ci sera déployé à l’échelle mondiale via une mise à jour logicielle à partir de la mi-octobre. OnePlus reste déterminé à protéger les données de ses clients et continuera à donner la priorité aux améliorations en matière de sécurité. »
En attendant, il est recommandé de limiter les applications installées aux sources fiables, de supprimer les applications non essentielles, d’abandonner les codes 2FA par SMS au profit d’applications d’authentification dédiées, et d’utiliser des applications de messagerie tierces chiffrées pour les conversations sensibles.