Investigadores de ciberseguridad han descubierto una vulnerabilidad potencialmente grave que estaría poniendo en riesgo a la gran mayoría de los móviles OnePlus modernos. Según revela Rapid7, los smartphones de la marca que ejecutan OxygenOS 12 y más recientes están expuestos a este fallo, que todavía no se ha resuelto.
Específicamente, los expertos indicaron que OnePlus introdujo modificaciones en Telephony, uno de los proveedores de contenido principales de Android y que se encarga de acceder a los mensajes de texto (SMS) y multimedia (MMS) y sus correspondientes metadatos, entre otras cuestiones.
De acuerdo con la explicación que se ofrece, el problema reside en la gestión de permisos de lectura y escritura, puesto que OnePlus no habría incluido el segundo. “Si no se define ningún atributo de permiso para el proveedor, y el proveedor no especifica explícitamente un permiso de lectura/escritura, el permiso se considera nulo y, por lo tanto, cualquier cliente puede realizar ese tipo de operación en el proveedor”, indican los expertos.
¿Esto qué significa? Que la vulnerabilidad que se ha encontrado permite que cualquier app instalada en los móviles OnePlus con OxygenOS 12 o posterior pueda leer los SMS y MMS del dispositivo —y sus respectivos metadatos— “sin permiso, interacción ni consentimiento” del usuario.
Este fallo de seguridad tiene el potencial de ser muy dañino por motivos bastante obvios. Muchas personas todavía usan códigos que se envían por SMS para autorizar acciones en servicios con verificación de dos pasos o autenticación de doble factor. Por ende, actores maliciosos podrían interceptar esa información y causar daños mayores. Asimismo, en países donde los SMS todavía se usan como vía de comunicación diaria, toda información compartida en ellos podría verse comprometida.
Un fallo de seguridad no resuelto afecta a los OnePlus modernos
Lo curioso de esta situación es que afecta a los móviles de OnePlus de los últimos 5 años. Desde Rapid7 explican que el fallo de seguridad se ha detectado a partir de OxygenOS 12, que debutó en 2021. Los expertos también la encontraron en builds de OxygenOS 14 y OxygenOS 15, pero no en OxygenOS 11.
De modo que aquellos que tengan un móvil de OnePlus que todavía ejecute dicha versión del sistema operativo basado en Android, que se lanzó en 2020, están protegidos ante esta vulnerabilidad. Por lo general es a la inversa, y los dispositivos desactualizados suelen ser los principales expuestos ante brechas de seguridad importantes.
Los expertos en ciberseguridad trataron de contactarse con OnePlus de forma privada para informarle de este fallo. Sin embargo, los esfuerzos que se iniciaron en mayo no tuvieron respuesta. Los especialistas también explicaron que, si bien el fabricante cuenta con un programa de recompensas por reportar bugs, no participaron del mismo debido a sus “términos y condiciones de confidencialidad restrictivos”.
Tras la divulgación del reporte, OnePlus ha reconocido la veracidad de la vulnerabilidad. También se ha comprometido a ofrecer una resolución, aunque esta llegaría recién en el transcurso de octubre. Así se lo manifestó un representante de la compañía a 9to5Google:
“Reconocemos la reciente divulgación de CVE-2025-10184 y hemos implementado una solución. Esta se implementará globalmente mediante una actualización de software a partir de mediados de octubre. OnePlus mantiene su compromiso con la protección de los datos de sus clientes y seguirá priorizando las mejoras de seguridad”.
Por lo pronto, los especialistas recomiendan no instalar aplicaciones provenientes de fuentes desconocidas y desinstalar las que no sean necesarias. Seguiremos atentos a más novedades.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://hipertextual.com/mobile/oneplus-fallo-seguridad-vulnerabilidad-sms/
