Vulnérabilité des smartphones OnePlus : un risque à considérer
Récemment, des experts en cybersécurité ont mis en lumière une vulnérabilité potentiellement sérieuse qui affecte une large majorité des smartphones de marque OnePlus. Ce problème concerne spécifiquement les appareils fonctionnant sous OxygenOS 12 et des versions ultérieures. Actuellement, cette lacune de sécurité n’a pas encore été résolue.
La vulnérabilité se trouve dans le système Telephony, un des composants essentiels d’Android, responsable de l’accès aux messages texte (SMS) et multimédias (MMS), ainsi qu’à leurs métadonnées. Le souci majeur identifié est lié à la gestion des permissions de lecture et d’écriture. Il semblerait que OnePlus n’ait pas correctement intégré le second type de permission, ce qui engendre un risque. En effet, sans un attribut défini pour le fournisseur, et sans une spécification explicite des permissions nécessaires, tout client peut effectuer des opérations normalement protégées.
La portée de la vulnérabilité
Que signifie cela pour l’utilisateur ? Cette vulnérabilité pourrait permettre à n’importe quelle application installée sur un mobile OnePlus fonctionnant sous OxygenOS 12 ou version ultérieure de lire les SMS et MMS sans l’autorisation ni le consentement de l’utilisateur. C’est préoccupant, non ?
Ce problème est sous-jacent à des pratiques quotidiennes. Beaucoup d’individus s’appuient encore sur des codes envoyés par SMS pour valider des actions sur des services comportant une vérification en deux étapes. Par conséquent, des acteurs malintentionnés pourraient intercepter des informations sensibles. Dans certains pays, où le SMS demeure un moyen courant de communication, cette situation pourrait compromettre des échanges importants.
Un problème persistant chez OnePlus
Cela devient particulièrement intéressant quand on se rend compte que cette situation concerne les mobiles de OnePlus lancés au cours des cinq dernières années. Selon les révélations, ce défaut de sécurité a été repéré à partir de OxygenOS 12, déployé en 2021, et a également été observé dans des builds ultérieures, notamment OxygenOS 14 et OxygenOS 15. En revanche, les appareils tournant encore sous OxygenOS 11, qui remonte à 2020, semblent protégés.
Il est vrai que souvent, ce sont les appareils non mis à jour qui souffrent le plus des failles de sécurité. Mais ici, c’est l’inverse qui se produit, ce qui déroute. Ces appareils, bien que récents, sont donc sujets à cette vulnérabilité.
Les tentatives de communication avec OnePlus
Les spécialistes en cybersécurité ont tenté d’alerter OnePlus de manière discrète pour signaler ce problème. Cependant, des efforts entrepris dès mai pour établir un contact restent sans réponse. Bien que la marque dispose d’un programme de récompenses pour les signalements de failles, les chercheurs n’y ont pas participé en raison de conditions de confidentialité jugées trop restrictives.
Après la divulgation des informations, OnePlus a reconnu la présence de cette vulnérabilité. La bonne nouvelle ? La société a promis une solution, même si celle-ci n’arrivera pas avant mi-octobre. Un représentant de l’entreprise a confirmé que : « Nous sommes conscients de la divulgation récente concernant CVE-2025-10184 et nous avons conçu une solution qui sera mise en place à l’échelle mondiale via une mise à jour logicielle. »
Conseils pour les utilisateurs de OnePlus
En attendant que cette correction soit déployée, il est conseillé de rester prudent. Une recommandation courante dans le monde de la cybersécurité est de ne pas installer d’applications provenant de sources inconnues et de supprimer les applications devenues inutiles. Cela permet de réduire les surfaces d’attaque.
Il est essentiel d’être vigilant, surtout lorsque l’on utilise des appareils connectés qui peuvent potentiellement englober des risques cachés. La sécurité de vos données et de vos échanges doit passer en priorité. Restons informés des évolutions concernant cette vulnérabilité.
