{"id":1213,"date":"2025-09-25T11:47:13","date_gmt":"2025-09-25T09:47:13","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/oneplus-la-faille-qui-laisse-fuiter-vos-sms\/"},"modified":"2025-09-25T11:47:13","modified_gmt":"2025-09-25T09:47:13","slug":"oneplus-la-faille-qui-laisse-fuiter-vos-sms","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/oneplus-la-faille-qui-laisse-fuiter-vos-sms\/","title":{"rendered":"OnePlus &#8211; La faille qui laisse fuiter vos SMS"},"content":{"rendered":"<p>Si vous avez un joli smartphone OnePlus, vous allez \u00eatre content d\u2019apprendre qu\u2019il s\u2019y cache une faille critique d\u00e9couverte par<br \/>\n<a href=\"https:\/\/www.rapid7.com\/blog\/post\/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed\/\">Rapid7<\/a><br \/>\n! Et quand je dis critique c\u2019est pas pour rigoler puisque depuis 4 ans, n\u2019importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant.<\/p>\n<p>Estampill\u00e9e CVE-2025-10184, cette faille touche tous les OnePlus \u00e9quip\u00e9s de OxygenOS 12 \u00e0 15. En 2021, OnePlus a en effet bidouill\u00e9 le package Telephony d\u2019Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n\u2019existaient pas dans Android stock et ont \u00e9t\u00e9 invent\u00e9s par les \u00e9quipes OnePlus \/ Oppo pour on ne sait quelle raison obscure.<\/p>\n<p>Mais le probl\u00e8me, c\u2019est que ces trois comp\u00e8res ont \u00e9t\u00e9 cod\u00e9s avec les pieds puisque leurs manifests ne demandent pas la permission READ_SMS pour acc\u00e9der aux textos. Du coup, n\u2019importe quelle app install\u00e9e sur le t\u00e9l\u00e9phone peut aller fouiller dans les messages comme si c\u2019\u00e9tait tiroir \u00e0 chaussettes, simplement \u00e0 l\u2019aide de quelques injections SQL.<\/p>\n<p>\n<a href=\"https:\/\/dbugs.ptsecurity.com\/vulnerability\/CVE-2025-10184\">Rapid7 a test\u00e9 \u00e7a sur des OnePlus 8T et OnePlus 10 Pro<\/a><br \/>\net \u00e7a marche nickel. Vos codes de v\u00e9rification bancaire, vos codes 2FA, vos conversations priv\u00e9es, tout y passe\u2026<\/p>\n<p>Bien s\u00fbr, Rapid7 a essay\u00e9 de contacter OnePlus, 7 fois entre mai et ao\u00fbt 2025. Et pas de r\u00e9ponse. OnePlus a fait l\u2019autruche esp\u00e9rant surement que le probl\u00e8me disparaitrait de lui-m\u00eame\u2026 Technique \u00e9prouv\u00e9e, mais qui ne fonctionne pas du tout quand il s\u2019agit de cybers\u00e9curit\u00e9.<\/p>\n<p>C\u2019est donc seulement apr\u00e8s la publication publique de la faille en septembre que OnePlus a daign\u00e9 r\u00e9pondre : \u201c<em>Nous avons lanc\u00e9 une investigation<\/em>\u201d. Ah ben merci les gars, vous auriez pas pu la lancer 7 mois plus t\u00f4t, mais bon, breeef, passons\u2026<\/p>\n<p>Donc \u00e0 l\u2019heure o\u00f9 j\u2019\u00e9cris ces lignes, il n\u2019y a toujours pas de correctif. OnePlus continue de vendre des t\u00e9l\u00e9phones vuln\u00e9rables en toute connaissance de cause et tout va bien. Voil\u00e0, donc en attendant le patch hypoth\u00e9tique, voici mes quelques conseils de survie :<\/p>\n<ol>\n<li>Virez les apps que vous n\u2019utilisez pas<\/li>\n<li>Passez aux outils 2FA plut\u00f4t que de recevoir vos codes 2FA par SMS<\/li>\n<li>Utilisez des messageries chiffr\u00e9es de bout-en-bout pour vos conversations sensibles<\/li>\n<\/ol>\n<p>Bref, voil\u00e0 encore une optimisation marketing qui fout la merde dans un syst\u00e8me \u00e0 la base s\u00fbr\u2026 Chapeau les artistes !<\/p>\n<p>\n<a href=\"https:\/\/www.rapid7.com\/blog\/post\/cve-2025-10184-oneplus-oxygenos-telephony-provider-permission-bypass-not-fixed\/\">Source<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Si vous avez un joli smartphone OnePlus, vous allez \u00eatre content d\u2019apprendre qu\u2019il s\u2019y cache une faille critique d\u00e9couverte par Rapid7 ! Et quand je dis critique c\u2019est pas pour rigoler puisque depuis 4 ans, n\u2019importe quelle app sur votre OnePlus peut aspirer tous vos SMS sans que vous ne soyez au courant. Estampill\u00e9e CVE-2025-10184, cette faille touche tous les OnePlus \u00e9quip\u00e9s de OxygenOS 12 \u00e0 15. En 2021, OnePlus a en effet bidouill\u00e9 le package Telephony d\u2019Android en y ajoutant trois petits passagers clandestins : PushMessageProvider, PushShopProvider et ServiceNumberProvider. Ces trucs n\u2019existaient pas dans Android stock et ont \u00e9t\u00e9 invent\u00e9s par les \u00e9quipes OnePlus \/ Oppo pour on ne sait quelle raison obscure. Mais le probl\u00e8me, c\u2019est que ces trois comp\u00e8res ont \u00e9t\u00e9 cod\u00e9s avec les pieds puisque leurs manifests ne demandent pas la permission READ_SMS pour acc\u00e9der aux textos. Du coup, n\u2019importe quelle app install\u00e9e sur le t\u00e9l\u00e9phone peut aller fouiller dans les messages comme si c\u2019\u00e9tait tiroir \u00e0 chaussettes, simplement \u00e0 l\u2019aide de quelques injections SQL. Rapid7 a test\u00e9 \u00e7a sur des OnePlus 8T et OnePlus 10 Pro et \u00e7a marche nickel. Vos codes de v\u00e9rification bancaire, vos codes 2FA, vos conversations priv\u00e9es, tout y passe\u2026 Bien s\u00fbr, Rapid7 a essay\u00e9 de contacter OnePlus, 7 fois entre mai et ao\u00fbt 2025. Et pas de r\u00e9ponse. OnePlus a fait l\u2019autruche esp\u00e9rant surement que le probl\u00e8me disparaitrait de lui-m\u00eame\u2026 Technique \u00e9prouv\u00e9e, mais qui ne fonctionne pas du tout quand il s\u2019agit de cybers\u00e9curit\u00e9. C\u2019est donc seulement apr\u00e8s la publication publique de la faille en septembre que OnePlus a daign\u00e9 r\u00e9pondre : \u201cNous avons lanc\u00e9 une investigation\u201d. Ah ben merci les gars, vous auriez pas pu la lancer 7 mois plus t\u00f4t, mais bon, breeef, passons\u2026 Donc \u00e0 l\u2019heure o\u00f9 j\u2019\u00e9cris ces lignes, il n\u2019y a toujours pas de correctif. OnePlus continue de vendre des t\u00e9l\u00e9phones vuln\u00e9rables en toute connaissance de cause et tout va bien. Voil\u00e0, donc en attendant le patch hypoth\u00e9tique, voici mes quelques conseils de survie : Virez les apps que vous n\u2019utilisez pas Passez aux outils 2FA plut\u00f4t que de recevoir vos codes 2FA par SMS Utilisez des messageries chiffr\u00e9es de bout-en-bout pour vos conversations sensibles Bref, voil\u00e0 encore une optimisation marketing qui fout la merde dans un syst\u00e8me \u00e0 la base s\u00fbr\u2026 Chapeau les artistes ! Source<\/p>\n","protected":false},"author":1,"featured_media":1214,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1213","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1213","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1213"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1213\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1214"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1213"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}