OnePlusスマートフォンの未修正の脆弱性により、不正アプリがSMSメッセージを送信可能に

OnePlusのAndroidベースのオペレーティングシステム「OxygenOS」の複数バージョンに存在する脆弱性により、インストールされた任意のアプリが、許可やユーザーの操作なしにSMSデータおよびメタデータへアクセスできてしまいます。

OnePlusはOppoの子会社であり、深センに拠点を置く家電メーカーです。高性能なスマートフォンを競争力のある価格で提供することで知られています。他の主要な中国ブランド（HuaweiやXiaomiなど）が米国で販売されていない一方、OnePlusの端末は米国でも公式に販売されています。

この脆弱性はCVE-2025-10184として追跡されており、Rapid7の研究者によって発見されましたが、現在も未修正で悪用可能な状態です。中国のOEMであるOnePlusは、Rapid7からの開示にこれまで応じておらず、サイバーセキュリティ企業は技術的な詳細と概念実証（PoC）エクスプロイトを公開しました。

問題の原因

この問題は、OnePlusが標準のAndroid Telephonyパッケージを変更し、PushMessageProvider、PushShopProvider、ServiceNumberProviderなどの追加のエクスポートされたコンテンツプロバイダーを導入したことに起因しています。

これらのプロバイダーのマニフェストには「READ_SMS」の書き込み権限が宣言されておらず、デフォルトでどのアプリからもアクセスできる状態となっており、SMS権限を持たないアプリでも利用可能です。

さらに悪いことに、クライアントから提供される入力がサニタイズされていないため、「ブラインドSQLインジェクション」が可能となり、デバイスのデータベースからSMSの内容を1文字ずつ総当たりで再構築できてしまいます。

「このプロセスをサブクエリで返された各行の各文字に対してアルゴリズム的に繰り返すことで、updateメソッドの戻り値を真偽の指標として利用し、データベースの内容を流出させることが可能です」とRapid7はレポートで説明しています。

つまり、SMSの読み取り権限は正しく設定されていますが、書き込み権限が設定されていないため、特定の前提条件が満たされた場合にSMSの内容を推測できてしまいます：

1. 公開されたテーブルにすでに1行以上のデータが存在していること（update()が0以外の「変更行数」を返すため）。
2. プロバイダーがinsert()を許可していること（テーブルが空の場合、攻撃者がダミー行を作成できるようにするため）。
3. smsテーブルが同じSQLiteデータベースファイル内にあること（注入されたサブクエリが参照できるようにするため）。

影響と対応

この問題は、OxygenOS 12から最新の15（Android 15ベース）までのすべてのバージョンに影響します。

Rapid7の研究者は、OnePlus 8Tおよび10 Proで、さまざまなOxygenOSバージョンとTelephonyパッケージ番号で脆弱性をテスト・確認しましたが、このリストはほぼ間違いなく網羅的ではないと指摘しています。

「上記のビルド番号はテストデバイス固有ですが、この問題はAndroidのコアコンポーネントに影響するため、上記OxygenOSバージョンを実行している他のOnePlusデバイスにも影響する可能性が高いです。つまり、ハードウェア固有の問題ではないようです」とRapid7は説明しています。

研究者らは5月1日にOnePlusに調査結果を共有しようとし、その後8月16日まで複数の代替メールアドレスに何度も連絡を試みました。

7回にわたる個別の連絡にも返答がなかったため、セキュリティ企業はCVE-2025-10184の詳細を公表しました。

Rapid7のレポート公開後まもなく、OnePlusは開示を認め、問題の調査を開始したと発表しました。

BleepingComputerはOnePlusにコメントを求めて連絡しましたが、まだ回答は得られていません。

修正パッチが提供されるまで、OnePlus端末にインストールするアプリの数を最小限に抑え、信頼できる発行元のみを利用し、SMSベースの2要素認証からGoogle AuthenticatorなどのOTPアプリへ切り替えることが推奨されます。

OnePlus端末ではSMSが適切に隔離されていないため、機密性の高い通信はエンドツーエンド暗号化されたアプリのみで行うべきです。