Falha em versões 12 a 15 do OxygenOS permite que aplicativos leiam SMS sem autorização

Pesquisadores da empresa de segurança Rapid7 identificaram uma vulnerabilidade grave no OxygenOS, sistema baseado em Android usado pela OnePlus. O problema afeta as versões entre a 12 e a 15 e possibilita que qualquer aplicativo instalado no aparelho acesse mensagens SMS, MMS e seus metadados sem necessidade de permissão do usuário.

A falha foi relatada à OnePlus em maio de 2025, mas, até o momento, não há correção disponibilizada. O caso tornou-se público nesta quarta-feira (24), quando a Rapid7 divulgou detalhes do estudo.

Como o acesso indevido acontece

Segundo a Rapid7, o OxygenOS inclui content providers – atalhos internos para troca de dados entre sistema e aplicativos – configurados de forma inadequada. Esses provedores utilizam apenas o atributo readPermission, o que libera a leitura de dados no pacote com.android.providers.telephony, responsável pelo armazenamento de mensagens.

Com essa configuração, um aplicativo malicioso consegue executar ataques de blind SQL injection para coletar os SMS em partes até reconstruir o conteúdo completo, sem interação ou aviso ao usuário. Além das conversas, códigos de autenticação via SMS também ficam expostos, comprometendo sistemas de verificação em duas etapas.

Impacto restrito aos aparelhos OnePlus

A análise comparou o código do OxygenOS com outras implementações do Android e concluiu que o defeito é exclusivo dos dispositivos da OnePlus. Em outros fabricantes, o provedor de telefonia exige permissões adicionais, reduzindo o risco de leitura não autorizada.

Falha em versões 12 a 15 do OxygenOS permite que aplicativos leiam SMS sem autorização - Imagem do artigo

Imagem: Internet

Recomendações de segurança

Enquanto não há atualização oficial, a Rapid7 sugere:

  • Instalar somente aplicativos de desenvolvedores confiáveis e remover apps desnecessários;
  • Trocar autenticação em dois fatores por SMS por métodos baseados em aplicativos autenticadores;
  • Adotar mensageiros com criptografia de ponta a ponta em vez de SMS para informações sensíveis;
  • Substituir alertas por SMS por notificações push sempre que possível.

Até que a OnePlus libere um patch, usuários devem redobrar a atenção à instalação de novos aplicativos e rever serviços que dependem de mensagens de texto para autenticação.

Com informações de TecMundo