Sua Privacidade em Risco: Falha Crítica em Celulares OnePlus Permite que Apps Leiam SMS Sem Permissão
Nossos smartphones são extensões de nossa mente, repositórios de segredos, confissões e transações. Mas o que acontece quando essa extensão se torna uma janela aberta, expondo nossos pensamentos mais privados ao mundo? É exatamente essa questão que paira sobre os usuários de celulares OnePlus, após pesquisadores da empresa de cibersegurança Rapid7 revelarem uma vulnerabilidade, rastreada como CVE-2025-10184, que afeta múltiplas versões do sistema operacional OxygenOS. A falha permite que qualquer aplicativo, mesmo o mais inofensivo em aparência, leia o conteúdo e os metadados de mensagens SMS sem pedir permissão, transformando um dispositivo pessoal em um livro aberto.
O Fantasma na Máquina: Como a Falha Funciona?
No universo digital, a segurança muitas vezes reside nos detalhes, nas pequenas linhas de código que definem permissões. Segundo o relatório da Rapid7, a origem do problema está em uma modificação que a própria OnePlus, uma subsidiária da Oppo, fez no pacote de Telefonia padrão do Android. A empresa introduziu provedores de conteúdo adicionais, como o PushMessageProvider, PushShopProvider e o ServiceNumberProvider. O lapso ocorreu aqui: o manifesto desses provedores não declara a permissão de escrita para 'READ_SMS', deixando a porta escancarada por padrão.
Isso significa que, enquanto a permissão de leitura de SMS está configurada corretamente, a de escrita não está. E como isso permite que um app leia mensagens se ele só pode "escrever"? A resposta é uma técnica engenhosa e assustadora conhecida como "injeção de SQL cega" (blind SQL injection). Como a entrada de dados do cliente não é higienizada, um aplicativo mal-intencionado pode enviar comandos que, na prática, fazem perguntas ao banco de dados do celular, uma letra de cada vez. O aplicativo "adivinha" um caractere e, com base na resposta do sistema (um "verdadeiro" ou "falso" indicado pelo retorno do método de atualização), ele confirma se acertou. Repetindo esse processo milhares de vezes por segundo, o app consegue reconstruir o conteúdo completo de suas mensagens SMS, desde o código de verificação do banco até aquela conversa pessoal que você achava estar segura.
Para que o ataque funcione, o relatório da Rapid7 aponta algumas condições: a tabela exposta no banco de dados precisa ter ao menos uma linha para que a função de atualização retorne um resultado, e a tabela de SMS deve estar no mesmo arquivo de banco de dados SQLite. Mesmo que a tabela esteja vazia, o provedor permite a inserção de uma linha "fantoche" para iniciar o processo de extração. É uma falha sutil, mas com um poder de devastação imenso para a privacidade do usuário.
Quais Aparelhos Dançam na Chuva Ácida?
A vulnerabilidade não é um problema isolado de um único modelo. A pesquisa da Rapid7 confirmou que a falha afeta todas as versões do OxygenOS da 12 até a mais recente, a 15, que é baseada no Android 15. Os testes foram realizados com sucesso em aparelhos como o OnePlus 8T e o OnePlus 10 Pro, rodando diferentes compilações do sistema. A empresa de segurança, no entanto, alerta que sua lista de dispositivos testados "quase definitivamente não é exaustiva".
De acordo com a Rapid7, "como o problema afeta um componente central do Android, esperamos que esta vulnerabilidade afete outros dispositivos OnePlus que rodam as versões mencionadas do OxygenOS, ou seja, não parece ser um problema específico de hardware". Em outras palavras, a falha está no software, na alma digital que anima esses aparelhos, e provavelmente se estende por grande parte da linha de produtos da marca.
O Silêncio e a Espera: A Resposta da OnePlus
Tão preocupante quanto a falha em si foi a jornada para reportá-la. A Rapid7 agiu conforme o protocolo de divulgação responsável, tentando contatar a OnePlus em 1º de maio de 2025. O que se seguiu foi um longo período de silêncio. Os pesquisadores enviaram múltiplas mensagens para diferentes endereços de e-mail até 16 de agosto, totalizando sete tentativas de comunicação distintas, todas sem resposta.
Diante da ausência de um canal de diálogo e da gravidade do problema, a Rapid7 tomou a decisão de divulgar publicamente os detalhes técnicos da falha em 24 de setembro. Apenas após a notícia vir a público, a OnePlus finalmente reconheceu a divulgação, afirmando ter iniciado uma investigação. Pouco depois, em um comunicado enviado ao BleepingComputer, a empresa confirmou a falha: "Reconhecemos a recente divulgação da CVE-2025-10184 e implementamos uma correção. Ela será distribuída globalmente via atualização de software a partir de meados de outubro".
Protegendo Segredos em um Mundo de Vidro
Enquanto a correção não chega, o que pode ser feito? Como proteger nossas conversas em um ambiente que se provou tão frágil? A recomendação dos especialistas é um exercício de minimalismo e desconfiança digital. Primeiro, mantenha o número de aplicativos instalados no seu dispositivo OnePlus no mínimo possível, confiando apenas em desenvolvedores com reputação sólida.
Além disso, este incidente é um forte argumento para abandonar a autenticação de dois fatores (2FA) baseada em SMS. Códigos recebidos por mensagem de texto estão vulneráveis. A alternativa mais segura é migrar para aplicativos de senhas de uso único (OTP), como o Google Authenticator ou similares. Para comunicações sensíveis, a regra é clara: utilize apenas aplicativos que ofereçam criptografia de ponta a ponta, onde nem mesmo o provedor do serviço pode ler suas mensagens.
No fim das contas, a falha CVE-2025-10184 não é apenas um bug; é um lembrete da fragilidade de nossas vidas digitais. Enquanto aguardamos a prometida correção da OnePlus, a pergunta que fica ecoando no silêncio do sistema é: em um mundo onde nossas conversas mais íntimas podem ser lidas por um código malicioso, o que realmente significa privacidade?
{{ comment.name }}
{{ comment.comment }}