Mientras la comunidad tecnológica esperaba por el lanzamiento del OnePlus 15, una alerta de seguridad importante ha acaparado la atención. Se ha descubierto una vulnerabilidad crítica en el sistema de mensajes SMS de varios smartphones OnePlus que podría poner en riesgo la privacidad de los usuarios. La buena noticia es que la compañía ya trabaja en un parche que estará disponible a mediados de octubre.
La firma de ciberseguridad Rapid7 publicó recientemente un informe detallando esta falla en el sistema operativo OxygenOS, que afecta a múltiples versiones desde la 12, incluyendo dispositivos como el OnePlus 8T. La raíz del problema está en una modificación realizada por OnePlus en el paquete estándar de la aplicación Telephony, encargada de gestionar mensajes SMS y MMS.
Esta alteración introdujo nuevos proveedores de contenido en el servicio, tales como PushMessageProvider, PushShopProvider y ServiceNumberProvider. Aunque modificar componentes del sistema no es inusual, en este caso se cometieron errores en la configuración de permisos. Se asignaron derechos de lectura para los mensajes, pero se omitieron controles estrictos para la escritura, lo que abre la puerta a que cualquier aplicación instalada pueda acceder y manipular mensajes sin necesidad de autorización del usuario, interacción o consentimiento alguno.
Este fallo, registrado como CVE-2025-10184, permite que apps maliciosas extraigan información sensible, incluyendo los contenidos de SMS, MMS y sus metadatos, sin que el usuario tenga forma de saber si su información ha sido comprometida.
Durante meses, Rapid7 intentó contactar a OnePlus para informar sobre esta vulnerabilidad, pero no obtuvo respuesta hasta que se hizo pública la investigación. Solo entonces la empresa reconoció la existencia del problema y aseguró que la solución será desplegada globalmente mediante una actualización de software.
Un portavoz de OnePlus declaró al medio 9to5Google:
Mientras tanto, los usuarios de dispositivos afectados deben actuar con precaución. Rapid7 recomienda instalar únicamente aplicaciones provenientes de fuentes confiables y eliminar aquellas que no sean esenciales. Además, para quienes usan mensajes SMS para recibir códigos de autenticación de dos factores (2FA), se aconseja cambiar a aplicaciones autenticadoras que no dependan del SMS, reduciendo así el riesgo de interceptación. También es recomendable migrar a aplicaciones de mensajería seguras de terceros que cifren las comunicaciones.
Esta vulnerabilidad subraya la importancia de que los fabricantes mantengan rigurosos controles en las modificaciones de software, especialmente cuando se trata de servicios básicos del sistema que manejan datos personales sensibles.
Estaremos atentos a la llegada del parche y a las recomendaciones oficiales para proteger la privacidad y seguridad de los usuarios OnePlus.
Última edición por un moderador:
