Een kwetsbaarheid in de Android-versie van OnePlus laat apps toe om sms-berichten en hun inhoud te lezen zonder toestemming van de gebruiker. De fout is nog niet opgelost.
Beveiligingsonderzoekers van Rapid7 hebben een lek ontdekt in OxygenOS. Dat is de Android-schil die OnePlus gebruikt in zijn telefoons. Door een fout in dat systeem kunnen apps op getroffen toestellen toegang krijgen tot sms- en mms-berichten zonder dat de gebruiker daar toestemming voor geeft. De toegang gebeurt volledig onzichtbaar, zonder meldingen of interactie.
De fout, aangeduid als CVE-2025-10184, maakt misbruik van een onderliggend Android-onderdeel dat berichten beheert. Concreet gaat het om een zogeheten content provider, die normaal gezien beveiligd is met toegangsrechten. Bij OnePlus blijken bepaalde delen van dit systeem echter onvoldoende beschermd te zijn, waardoor apps informatie kunnen opvragen via slimme zoekopdrachten – zelfs wanneer ze officieel geen toegang tot berichten hebben.
Gevaar voor MFA
Volgens Rapid7 is de fout al aanwezig sinds versie 12 van OxygenOS, uitgebracht in 2021. De onderzoekers hebben de bug bevestigd op onder andere de OnePlus 8T en de OnePlus 10 Pro met recente softwareversies. Doordat de fout zich in een kerncomponent van het besturingssysteem bevindt, is het zeer waarschijnlijk dat ook andere toestellen met OxygenOS 12, 13, 14 of 15 kwetsbaar zijn.
Een app die misbruik maakt van deze fout kan sms-inhoud stiekem uitlezen. Dat maakt het mogelijk om bijvoorbeeld beveiligingscodes voor multi-factor authenticatie (MFA) te onderscheppen.
lees ook
OnePlus Nord CE 5 review: cardio boven spieren
De kwetsbaarheid ligt bijzonder gevoelig, zeker in contexten waar surveillance een risico vormt, zoals bij overheden of activisten. Rapid7 waarschuwt dat zowel cybercriminelen als staatsactoren dit lek kunnen gebruiken voor spionage of datadiefstal.
Geen patch, wel actie
Rapid7 heeft OnePlus sinds mei 2025 meerdere keren proberen te contacteren over het lek. De fabrikant reageerde pas op 24 september, een dag nadat Rapid7 de informatie publiek maakte. OnePlus bevestigde de melding te onderzoeken, maar er is nog geen oplossing beschikbaar. In de loop van oktober zou OnePlus een patch uitrollen.
Tot een officiële beveiligingsupdate beschikbaar is, raadt Rapid7 aan om:
- Alleen apps te installeren uit betrouwbare bronnen.
- Sms-gebaseerde MFA te vervangen door authenticator-apps.
- Waar mogelijk geen gevoelige informatie via sms te laten verzenden.
- Over te stappen naar apps met end-to-end encryptie voor berichtenverkeer.
Al die suggesties zijn goede raad ook buiten de context van dit beveiligingslek.
Gebruikers van OnePlus-toestellen doen er goed aan hun apps te herbekijken en extra waakzaam te zijn voor onverwachte toegang tot hun gegevens.
Wat met Oppo?
OnePlus is een dochterbedrijf van Oppo, dat ook onder eigen naam telefoons verkoopt in ons land. Oppo-toestellen draaien op ColorOS. Dat besturingssysteem ziet er anders uit, maar heeft onder de motorkap zeer veel gelijkenissen met OxygenOS. Rapid7 zelf hoorde nog niet van Oppo of er ook bij ColorOS een risico bestaat. ITdaily heeft de vraag eveneens gesteld. We zullen die artikel updaten indien we hierover meer informatie ontvangen.