Nếu bạn đang sử dụng điện thoại thông minh OnePlus chạy Oxygenos 12, 14 hoặc 15, chúng tôi có tin tức liên quan đến bạn. Đầu tuần này, công ty an ninh mạng Rapid7 đã tiết lộ rằng điện thoại thông minh OnePlus chạy các phiên bản oxy này có lỗ hổng bảo mật lớn có thể cho phép các ứng dụng độc hại truy cập vào dữ liệu SMS và MMS trên điện thoại thông minh của bạn mà không được phép, tương tác người dùng hoặc đồng ý.

Công ty cũng nói rằng “Người dùng cũng không được thông báo rằng dữ liệu SMS đang được truy cập,” điều này “có thể dẫn đến công bố thông tin nhạy cảm và có thể phá vỡ bảo mật được cung cấp bởi kiểm tra xác thực đa yếu tố dựa trên SMS (MFA).”

Rapid7 đã thử nghiệm và xác nhận lỗ hổng trên các bản dựng điện thoại thông minh OnePlus và oxy khác nhau, như được liệt kê trong bảng dưới đây.

Phiên bản thiết bị / mô hình phiên bản oxygenos phiên bản bản dựng phiên bản
OnePlus 8T / KB2003 3.4.135 12 KB2003_11_C.33
OnePlus 10 Pro 5G / NE2213 14.10.30 14 NE2213_14.0.0.700 (EX01)
OnePlus 10 Pro 5G / NE2213 15.30.5 15 NE2213_15.0.0.502 (EX01)
OnePlus 10 Pro 5G / NE2213 15.30.10 15 NE2213_15.0.0.700 (EX01)
OnePlus 10 Pro 5G / NE2213 15,40.0 15 NE2213_15.0.0.901 (EX01)

Công ty an ninh mạng tuyên bố rằng lỗ hổng này, được theo dõi là CVE-2025-10184, được giới thiệu như một phần của oxy 12, vì các phiên bản của oxygenos 11 mà nó đã thử nghiệm không dễ bị tổn thương với vấn đề này.

Hơn nữa, trong khi Rapid7 nói rằng lỗ hổng bảo mật này “dường như không phải là vấn đề cụ thể về phần cứng,” tác động tiềm năng của nó được coi là cao vì nó ảnh hưởng đến thành phần cốt lõi của Android và các thiết bị OnePlus khác với 8T hoặc 10 Pro 5G chạy oxy 12, 14 hoặc 15 cũng có thể dễ bị tổn thương.


OnePlus 10 Pro 5G

Rapid7 lần đầu tiên liên hệ với OnePlus vào ngày 1 tháng 5 năm 2025, để thảo luận về vấn đề này, và kể từ đó, nó đã tiếp cận với OnePlus và Oppo nửa tá lần trước khi công khai phát hiện ra những phát hiện của mình vào ngày 23 tháng 9 năm 2025. Một ngày sau đó, OnePlus đã trả lời Rapid7, thừa nhận công bố của công ty và thông báo cho họ đang đầu tư.

OnePlus 8t

OnePlus 10 Pro

OnePlus đã không nói Rapid7 những bước nào sẽ thực hiện; Tuy nhiên, trong một tuyên bố được chia sẻ với 9to5google Sau đó, một phát ngôn viên của OnePlus nói, “Chúng tôi thừa nhận việc tiết lộ gần đây của CVE-2025-10184 và đã thực hiện một sửa chữa. Điều này sẽ được triển khai trên toàn cầu thông qua cập nhật phần mềm bắt đầu từ giữa tháng 10. OnePlus vẫn cam kết bảo vệ dữ liệu của khách hàng và sẽ tiếp tục ưu tiên cải thiện bảo mật.

Vì vậy, người dùng của các thiết bị OnePlus bị ảnh hưởng có thể làm gì cho đến khi sửa chữa vào giữa tháng 10?

Những người ở Rapid7 đã khuyên người dùng của các thiết bị OnePlus bị ảnh hưởng nên thực hiện các bước sau:

  • Chỉ cài đặt các ứng dụng từ các nguồn đáng tin cậy và xóa tất cả các ứng dụng không cần thiết. Điều này sẽ hạn chế phơi nhiễm với các ứng dụng không được yêu cầu có thể sử dụng quyền cho phép này để đọc dữ liệu SMS/MMS.
  • Xem lại những dịch vụ của bên thứ ba sử dụng xác thực đa yếu tố dựa trên SMS (MFA) và thay đổi các dịch vụ đó để thay vào đó sử dụng ứng dụng Authenticator. Điều này sẽ hạn chế thông tin nhạy cảm được gửi đến thiết bị của bạn qua SMS.
  • Để có thêm quyền riêng tư của tin nhắn văn bản, người dùng có thể sử dụng các ứng dụng Messenger được mã hóa từ đầu đến cuối thay vì giao tiếp dựa trên SMS. Điều này sẽ hạn chế thông tin nhạy cảm được gửi đến thiết bị của bạn qua SMS.
  • Đối với các dịch vụ của bên thứ ba gửi thông báo dựa trên SMS, có thể thay đổi thông báo đẩy trong ứng dụng. Điều này sẽ hạn chế thông tin nhạy cảm được gửi đến thiết bị của bạn qua SMS.

Bạn có thể Nhấn vào đây để đọc toàn bộ tiết lộ của Rapid7 Để biết thêm chi tiết.