Một lỗ hổng CVE mới được công bố trong OnePlus OxygenOS cho phép bất kỳ ứng dụng nào trên thiết bị đọc tin nhắn SMS và MMS mà không cần sự cho phép rõ ràng từ người dùng. Sự cố này, được định danh là CVE-2025-10184, xuất phát từ một lỗ hổng bỏ qua quyền truy cập trong nhà cung cấp nội dung Telephony (com.android.providers.telephony) của hệ điều hành.

Trong các bản dựng Android tiêu chuẩn, các ứng dụng cần phải có quyền READ_SMS và hiển thị lời nhắc đồng ý cho người dùng trước khi có thể truy cập tin nhắn văn bản. Tuy nhiên, trong các phiên bản OxygenOS bị ảnh hưởng, các nhà cung cấp nội dung nội bộ cốt lõi đã cấp quyền truy cập mở theo mặc định. Điều này cho phép các ứng dụng độc hại hoặc ứng dụng có ý định xấu truy vấn dữ liệu và siêu dữ liệu tin nhắn một cách âm thầm, mà không hề có sự cảnh báo hay yêu cầu xác nhận nào từ phía người dùng.

Chi tiết Kỹ thuật về Lỗ hổng CVE-2025-10184

Cơ chế Bỏ qua Quyền truy cập Hệ thống

Vấn đề cốt lõi của lỗ hổng CVE-2025-10184 nằm ở việc các nhà cung cấp nội dung (content providers) của OnePlus OxygenOS không thực thi đúng các biện pháp kiểm soát quyền. Cụ thể, nhà cung cấp nội dung Telephony (com.android.providers.telephony), vốn chịu trách nhiệm quản lý tin nhắn, đã bỏ qua yêu cầu quyền READ_SMS. Điều này tạo ra một “kẽ hở” bảo mật nghiêm trọng, cho phép các ứng dụng không có đặc quyền truy cập vào thông tin nhạy cảm của người dùng.

Nghiêm trọng hơn, OnePlus đã tự giới thiệu thêm ba nhà cung cấp nội dung khác: PushMessageProvider, PushShopProvider, và ServiceNumberProvider. Những nhà cung cấp này cũng bị phát hiện thiếu các kiểm tra quyền phù hợp, cho phép mọi ứng dụng thực hiện các thao tác đọc và ghi dữ liệu, mở rộng phạm vi tấn công tiềm tàng.

Lỗ hổng Tiêm nhiễm SQL trong ServiceNumberProvider

Ngoài vấn đề bỏ qua quyền, các nhà nghiên cứu đã phát hiện một lỗ hổng tiêm nhiễm SQL (blind SQL injection) trong phương thức update của ServiceNumberProvider. Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép các ứng dụng độc hại infer và trích xuất nội dung SMS từng ký tự một.

Kỹ thuật tiêm nhiễm SQL mù (blind SQL injection) này cho phép kẻ tấn công xây dựng các truy vấn cơ sở dữ liệu để lấy thông tin một cách có hệ thống, ngay cả khi không có phản hồi trực tiếp từ cơ sở dữ liệu. Điều này có nghĩa là kẻ tấn công có thể thu thập toàn bộ nội dung tin nhắn, vượt qua hoàn toàn cơ chế bảo vệ quyền READ_SMS ban đầu của Android, làm tăng mức độ nghiêm trọng của lỗ hổng CVE này lên đáng kể.

Các Thiết bị và Phiên bản OxygenOS Bị Ảnh hưởng

Lỗ hổng CVE-2025-10184 đã được xác nhận ảnh hưởng đến nhiều thiết bị OnePlus đang chạy OxygenOS 12 và OxygenOS 15. Các nhà nghiên cứu bảo mật từ Rapid7 đã kiểm tra và xác nhận sự tồn tại của lỗ hổng trên các thiết bị cụ thể sau:

• OnePlus 8T (chạy OxygenOS 12, bản dựng KB2003_11_C.33)
• OnePlus 10 Pro 5G (chạy OxygenOS 15, các bản dựng NE2213_15.0.0.502 và NE2213_15.0.0.901)

Mặc dù chỉ có những thiết bị này được xác nhận, bản chất cơ bản của lỗ hổng CVE này trong OxygenOS cho thấy khả năng cao nhiều phiên bản khác và mẫu thiết bị OnePlus khác cũng có thể dễ bị tấn công. Người dùng các thiết bị OnePlus nên chủ động kiểm tra phiên bản hệ điều hành của mình.

Tác động và Rủi ro Bảo mật Nghiêm trọng từ Lỗ hổng CVE

Tin nhắn văn bản (SMS) vẫn là một phương tiện truyền thông thiết yếu, đặc biệt được sử dụng cho các mã xác minh một lần (OTP) và giao tiếp cá nhân nhạy cảm. Do đó, việc khai thác lỗ hổng CVE-2025-10184 gây ra một rủi ro bảo mật và quyền riêng tư vô cùng nghiêm trọng.

Nguy cơ Đánh cắp Dữ liệu Nhạy cảm và Gian lận

Một ứng dụng độc hại có thể âm thầm chặn và đánh cắp các mã xác minh ngân hàng, mã đặt lại mật khẩu email hoặc mã xác thực mạng xã hội được gửi qua SMS. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm, bao gồm thông tin tài chính, thông tin định danh cá nhân và dữ liệu tài khoản trực tuyến.

Trong trường hợp nghiêm trọng hơn, phần mềm độc hại có thể thu thập tất cả các tin nhắn đến theo thời gian thực, cung cấp một luồng thông tin liên lạc liên tục cho kẻ tấn công. Các tác nhân được nhà nước bảo trợ hoặc các chế độ đàn áp cũng có thể khai thác vấn đề này để tiến hành giám sát hàng loạt công dân, xâm phạm nghiêm trọng đến quyền riêng tư và tự do cá nhân.

Vô hiệu hóa Xác thực Đa yếu tố (MFA) dựa trên SMS

Một trong những tác động đáng lo ngại nhất của lỗ hổng CVE-2025-10184 là khả năng nó vô hiệu hóa hiệu quả các biện pháp bảo vệ của xác thực đa yếu tố (MFA) dựa trên SMS. Nhiều dịch vụ trực tuyến dựa vào SMS OTP như một lớp bảo mật bổ sung để bảo vệ tài khoản người dùng.

Nếu kẻ tấn công có thể đọc SMS OTP thông qua lỗ hổng này, lớp bảo vệ MFA sẽ trở nên vô dụng, cho phép kẻ tấn công dễ dàng chiếm quyền điều khiển tài khoản. Điều này làm suy yếu niềm tin của người dùng vào các hệ thống xác minh qua tin nhắn văn bản và tạo ra một điểm yếu lớn trong an ninh tài khoản trực tuyến.

Trạng thái Vá lỗi và Phản hồi từ OnePlus

Rapid7 đã công bố cảnh báo chi tiết về lỗ hổng CVE-2025-10184 vào ngày 22 tháng 9 năm 2025, đáng chú ý là với trạng thái “chưa được vá lỗi” (not fixed). Các nỗ lực của Rapid7 nhằm phối hợp với OnePlus thông qua chương trình tiền thưởng lỗi công khai của hãng đã gặp phải khó khăn và thất bại do các điều khoản không tiết lộ thông tin nghiêm ngặt của OnePlus.

Vào ngày 24 tháng 9, OnePlus đã chính thức thừa nhận báo cáo về lỗ hổng CVE này và xác nhận rằng một cuộc điều tra đang được tiến hành. Tuy nhiên, tại thời điểm hiện tại, chưa có bất kỳ lịch trình cập nhật bảo mật cụ thể nào được công bố, điều này khiến người dùng các thiết bị OnePlus vẫn tiếp tục bị phơi nhiễm trước nguy cơ khai thác cho đến khi một bản vá bảo mật chính thức được phát hành.

Thông tin chi tiết về lỗ hổng có thể được tìm thấy trong cảnh báo của Rapid7 tại: Rapid7 Blog: CVE-2025-10184: OnePlus OxygenOS Telephony Provider Permission Bypass Not Fixed

Biện pháp Khắc phục tạm thời và Khuyến nghị

Trong khi chờ đợi bản sửa lỗi chính thức từ nhà cung cấp, người dùng và các tổ chức cần thực hiện các biện pháp phòng ngừa chủ động để bảo vệ dữ liệu cá nhân và hệ thống khỏi lỗ hổng CVE-2025-10184.

Đối với người dùng cuối các thiết bị OnePlus

• Kiểm tra và gỡ bỏ ứng dụng không cần thiết: Thường xuyên kiểm tra danh sách ứng dụng đã cài đặt. Gỡ bỏ bất kỳ ứng dụng nào không rõ nguồn gốc, không còn sử dụng hoặc có vẻ đáng ngờ.
• Giới hạn quyền truy cập SMS: Truy cập cài đặt ứng dụng trên thiết bị của bạn và thu hồi quyền truy cập SMS đối với các ứng dụng không thực sự cần nó để hoạt động bình thường.
• Tránh cài đặt ứng dụng từ nguồn không đáng tin cậy: Chỉ tải xuống và cài đặt ứng dụng từ các nguồn chính thức và đáng tin cậy như Google Play Store. Tránh các kho ứng dụng của bên thứ ba không được kiểm soát.
• Ưu tiên sử dụng MFA không dựa trên SMS: Chuyển sang các phương pháp MFA an toàn hơn như sử dụng ứng dụng xác thực (ví dụ: Google Authenticator, Authy, Microsoft Authenticator) hoặc các khóa bảo mật phần cứng (ví dụ: YubiKey). Điều này sẽ giảm thiểu nguy cơ rò rỉ dữ liệu thông qua việc chặn SMS OTP.

Đối với đội ngũ bảo mật và quản lý thiết bị di động (MDM)

• Thực hiện kiểm tra quyền truy cập SMS định kỳ: Sử dụng các công cụ MDM hoặc giải pháp quản lý tài sản để thực hiện kiểm tra định kỳ các ứng dụng đã cài đặt trên thiết bị được quản lý, nhằm phát hiện bất kỳ ứng dụng nào có quyền truy cập SMS bất thường hoặc không cần thiết.
• Thực thi chính sách quyền nghiêm ngặt: Áp dụng các chính sách MDM để hạn chế quyền truy cập vào các nhà cung cấp nội dung nhạy cảm và yêu cầu phê duyệt rõ ràng cho quyền SMS đối với các ứng dụng doanh nghiệp.
• Theo dõi và triển khai bản vá bảo mật: Liên tục theo dõi các thông báo bảo mật từ OnePlus về việc phát hành bản vá bảo mật cho lỗ hổng CVE-2025-10184 và lên kế hoạch triển khai chúng ngay lập tức khi có sẵn.

Cho đến khi OnePlus phát hành một bản vá bảo mật chính thức, việc duy trì vệ sinh ứng dụng chủ động, thực thi các chính sách quyền chặt chẽ và áp dụng các phương pháp hay nhất về MFA vẫn là những biện pháp phòng thủ mạnh mẽ nhất để chống lại việc truy cập trái phép vào dữ liệu tin nhắn nhạy cảm. Người dùng và tổ chức cần nhận thức rõ đây là một lỗ hổng CVE nghiêm trọng cần được ưu tiên xử lý.