OPPO 系手机被曝存在长达 6 年的重大安全漏洞(CVE-2025-10184)
涉及 OxygenOS 12+ / ColorOS 7.1+ 全系列系统
漏洞概况
- 类型:数据库注入攻击(
1=1 AND) - 效果:任意应用可在无感知、无需授权、无需交互的情况下,直接读取手机本地全部短信数据(包括银行验证码、私人对话等)。
- 影响范围:
- OPPO & realme:ColorOS 7.1 及以上版本
- 一加:OxygenOS 12 及以上版本
- 时间跨度:最早可追溯至 2019 年,潜在风险长达 6 年。
漏洞危害
- 本机所有短信内容、验证码、私人对话均可被恶意应用窃取。
- 银行、APP 登录验证码等敏感信息面临泄露风险。
修复进展
- 厂商回应:OPPO 于 9 月 24 日回应 Rapid7,承诺修复(传闻十月中旬推送补丁)。
- 当前状态:暂无公开安全更新,用户需自行采取临时防护。
自查方法
安装测试应用 onepush.apk,运行一分钟:
- 若显示数据 → 存在漏洞
- 若无数据 → 未受影响
临时解决方案(分优先级)
方案三(无需 Root,推荐尝试)
限制数据库读取权限(适用 ColorOS / OxygenOS)
- 安装 MT 管理器
- 进入目录:
/data/data/com.android.providers.telephony/databases/ - 长按 mmssms.db 文件 → 属性 → 权限
- 去除所有“读”权限(保留写权限)
- 重启手机,验证短信收发正常
注:ColorOS 15 亲测有效,不影响短信功能
其他方案(Root 用户)
- 参考 GitHub 大佬 yuuouu 的总结帖,内含:
- 酷安 & V2EX 大神方案
- B 站评论区有效方法
无 Root 用户建议
- 及时彻底删除重要短信
- 谨慎安装来源不明的应用
- 敏感操作使用虚拟机环境
- 等待官方紧急补丁
参考来源
- Rapid7 报告原文:
https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed/ - 漏洞总结与方案合集:
https://github.com/yuuouu/ColorOS-CVE-2025-10184
友情提示:建议优先尝试非 Root 方案,并关注系统更新通知。如有疑问,可参考原帖社区讨论(酷安、B 站、V2EX)。
#OPPO安全漏洞 #短信验证码保护 #ColorOS #OxygenOS
没用OP