La sécurité de nos smartphones est devenue une préoccupation majeure à l’ère numérique, et une récente découverte concernant les appareils OnePlus ne fait que renforcer ces inquiétudes. Une faille critique, identifiée par la société de cybersécurité Rapid7, met en lumière une vulnérabilité qui permet à toute application installée sur les smartphones OnePlus de siphonner vos SMS, y compris des informations sensibles comme des codes de vérification bancaire et des identifiants 2FA. Quatre ans de SMS sont ainsi exposés, et cela sans que l’utilisateur en soit informé.
Connue sous le nom de CVE-2025-10184, cette faille concerne les modèles fonctionnant sous OxygenOS 12 à 15. Ce problème provient d’une “bidouille” opérée par OnePlus, où le package Telephony d’Android a été modifié avec l’ajout de trois nouveaux composants : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces ajouts, qui ne font pas partie de l’Android standard, ont été mal codés, permettant un accès non autorisé aux messages sans nécessiter la permission requise pour lire les SMS.
“OnePlus continue de vendre des téléphones vulnérables en toute connaissance de cause.”
Rapid7 a testé cette vulnérabilité sur plusieurs modèles de smartphones OnePlus, tels que le OnePlus 8T et le OnePlus 10 Pro, confirmant que toute application a un accès libre aux messages. Malgré l’importance de cette faille, OnePlus semble avoir ignorer les alertes de sécurité envoyées par Rapid7 à sept reprises, entre mai et août 2025, préférant rester silencieux sur un sujet aussi crucial. Ce n’est qu’après la publication publique de la faille en septembre que la société a enfin réagi, affirmant qu’une enquête était en cours.
En attendant qu’un correctif soit développé et déployé, il est essentiel pour les utilisateurs de OnePlus de prendre des mesures préventives. Parmi les recommandations figurent la désinstallation des applications inutilisées, la transition vers des outils de 2FA qui n’utilisent pas les SMS, et l’utilisation de services de messagerie chiffrée pour des conversations sensibles. Malheureusement, cette situation met en évidence les risques associés à des pratiques de développement qui négligent la sécurité au profit d’optimisations marketing douteuses.
En conclusion, il est impératif que les utilisateurs de OnePlus restent vigilants et adoptent des pratiques sécuritaires pour protéger leurs données personnelles jusqu’à ce qu’une solution soit trouvée pour colmater cette faille critique. La cybersécurité étant un enjeu majeur, espérons que les entreprises prennent leurs responsabilités à cœur pour éviter de telles situations à l’avenir.
