Vulnerabilidade OxygenOS expõe SMS e códigos de 2FA

zairasilva

2 meses ago

Vulnerabilidade OxygenOS expõe SMS e códigos de 2FA

Vulnerabilidade OxygenOS expõe SMS e códigos de 2FA. A empresa de segurança Rapid7 identificou uma falha crítica nas versões 12 a 15 do sistema da OnePlus que libera o acesso irrestrito a mensagens de texto e metadados, sem exigir qualquer permissão do usuário.

Segundo o relatório, qualquer aplicativo instalado no smartphone consegue ler conteúdo e metadados de SMS/MMS armazenados no pacote com.android.providers.telephony. Isso ocorre sem notificação, dispensando interação do proprietário do aparelho e comprometendo, inclusive, códigos de autenticação em duas etapas.

Índice

Vulnerabilidade OxygenOS expõe SMS e códigos de 2FA

O problema está na configuração dos content providers adicionados pela OnePlus. Esses atalhos facilitam a troca de informações entre partes do sistema, mas foram configurados apenas com o atributo readPermission. Em outras distribuições Android, o atributo writePermission também é exigido, limitando quem pode inserir, atualizar ou excluir dados. Sem essa barreira, o OxygenOS entende que qualquer app pode realizar operações de leitura e escrita.

Riscos práticos para o usuário

Explorada com técnicas de blind SQL injection, a falha permite que softwares maliciosos reconstruam o conteúdo completo de mensagens em pequenos fragmentos. Dessa forma, invasores podem capturar informações sensíveis, tokens de verificação de serviços bancários ou senhas temporárias enviadas por SMS, comprometendo processos de autenticação multifator.

Recomendações imediatas

Sem correção oficial até o momento (24/09/2025, 19h45), a Rapid7 recomenda:

  • Instalar apenas apps de fontes confiáveis e remover os não essenciais;
  • Trocar o SMS por aplicativos autenticadores para MFA sempre que possível;
  • Preferir mensageiros com criptografia de ponta a ponta em vez do SMS tradicional;
  • Habilitar notificações push internas nos serviços que oferecem essa opção.

A Rapid7 informou que tenta alertar a OnePlus sobre a falha desde maio. Até a publicação desta nota, não houve divulgação de cronograma para um patch de segurança. Mais detalhes técnicos podem ser conferidos no site da Rapid7, referência global em pesquisa de vulnerabilidades.

Para acompanhar outras atualizações sobre segurança móvel e proteção de dados, visite nossa editoria de segurança e continue informado.

Crédito da imagem: Rapid7/Divulgação

zairasilva

Olá! Eu sou a Zaira Silva — apaixonada por marketing digital, criação de conteúdo e tudo que envolve compartilhar conhecimento de forma simples e acessível. Gosto de transformar temas complexos em conteúdos claros, úteis e bem organizados. Se você também acredita no poder da informação bem feita, estamos no mesmo caminho. ✨📚No tempo livre, Zaira gosta de viajar e fotografar paisagens urbanas e naturais, combinando sua curiosidade tecnológica com um olhar artístico. Acompanhe suas publicações para se manter atualizado com insights práticos e interessantes sobre o mundo da tecnologia.

Conteúdo Relacionado

Go up

Usamos cookies para garantir que oferecemos a melhor experiência em nosso site. Se você continuar a usar este site, assumiremos que você está satisfeito com ele. OK