#安全资讯 安全公司直接爆出一加系统中存在的高危安全漏洞，无需用户同意即可读取任何短信 / 彩信，一加既没有修复漏洞也没有回应。安全公司 RAPID7 从 5 月 1 日开始尝试联系一加但始终没有任何回应，迫于无奈现在研究人员直接公开漏洞且附带利用漏洞的片段代码算是敦促一加修复的最后手段。查看全文：https://ourl.co/110800

网络安全公司 RAPID7 日前公开披露一加 (OnePlus) 智能手机中存在的高危安全漏洞，借助这枚漏洞任意应用程序都可以不经过用户允许读取现有的短信和彩信数据。

根据研究人员的测试，多个版本的 OxygenOS (氧 OS，目前主要在国际市场中使用) 都存在这个安全漏洞，但 OxygenOS 11 在测试中不受影响，因此研究人员推测漏洞应该是一加在 2021 年 12 月 7 日发布的 OxygenOS 12 中带来的 (影响 12-15)。

无需用户交互的高危漏洞：

这枚漏洞的编号是 CVE-2025-10184，CVSS 评分为 8.2/10 分，问题根源在于一加使用的内部组件 com.oneplus.provider.telephony 中存在缺陷，可以在未经许可的情况下访问且容易受到 SQL 注入攻击。

黑客或恶意应用程序可以悄无声息地访问用户收到的任何短信或彩信，然后将数据传输到黑客控制的服务器，整个过程不需要任何交互，用户也不会看到任何通知。

本质上这个漏洞就是内部高权限组件存在的安全措施漏洞，这种内部组件具有更高的权限但会通过安全措施进行保护，避免未经授权的访问导致泄露系统内部敏感数据。

RAPID7 认为黑客利用漏洞可以窃取用户的 SMS 短信验证码，这样可以劫持用户账户造成更大危害，当然也可以通过窃取用户短信的方式实现某种监控并获取用户的私密信息。

未经修复就直接公布漏洞：

值得注意的是在安全行业，在漏洞没有被修复的情况下就披露漏洞细节属于大忌，正常的安全公司或研究人员都不会犯这种错误，通常都会耐心等待漏洞被修复。

然而 RAPID7 现在已经直接披露漏洞细节并提供可以利用漏洞的片段代码，原因是一加长期没有给出任何回应，这迫使研究人员将公开漏洞作为敦促供应商修复漏洞的最后手段。

RAPID7 从 2025 年 5 月 1 日开始就尝试联系一加进行反馈，首先漏洞被提交给一加安全响应中心但没有任何回应，随后 RAPID7 联系一加客服上报漏洞，客服表示会进行上报但依然没有任何明确消息。

到 7 月 22 日 RAPID7 通过 X/Twitter 向一加官方账号发送消息但还是没用，于是又尝试联系 OPPO 但同样没有成功，到 9 月 23 日研究人员还是没收到任何回应，最终迫于无奈 RAPID7 直接公开披露漏洞。