PTT數位生活區 / MobileComm (行動通訊)

[討論] OPPO系統存在APP不用權限可讀簡訊的漏洞

看板MobileComm (行動通訊)作者 (Ferr)時間2月前 (2025/10/03 20:11), 2月前編輯推噓20(21123)
留言45則, 28人參與, 2月前最新討論串1/3 (看更多)
最初來源: https://www.rapid7.com/blog/post/cve-2025-10184-oneplus-oxygenos-telephony- provider-permission-bypass-not-fixed/ 縮網址:https://reurl.cc/2QqOQO 美國資安廠商Rapid7發現海外一加使用的OxygenOS存在靠SQL注入手法,任何APP即可 在沒有權限允許下可讀用戶簡訊的漏洞,由於資安廠被OPPO放置Play五個月的情況下 選擇公開披露這個漏洞,隨後一加才表示正在調查此問題。 隨後根據網友測試CN版的ColorOS也有相同漏洞, 來源:https://www.v2ex.com/t/1162349 (簡中論壇不喜勿入) OPPO跟realme都在其中,基本上是OPPO旗下的都有該漏洞並且橫跨數版本,但台版是 否在影響範圍內個人沒查到,但猜測也是中招。 由於漏洞是公開披露的狀態,在廠商OTA安全更新前使用者等於是裸奔,只能注意不要 使用不可靠的APP與平台,只是不知道舊手機有沒有救... 稍微看一下資安廠的文章真心覺得很扯,2025年居然可以靠SQL注入這種超簡單手法獲 得簡訊進而影響到二階段驗證的安全性,而且是橫跨數個系統版本... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.164.230.178 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1759493499.A.B46.html ※ 編輯: ferr0204 (1.164.230.178 臺灣), 10/03/2025 20:12:37
10/03 20:15, 2月前 , 1F
不然你要買蘋果?
10/03 20:15, 1F
10/03 20:17, 2月前 , 2F
反正簡訊都是詐騙,給他看
10/03 20:17, 2F
10/03 20:41, 2月前 , 3F
手機都是後門 不要放機密資料最安全
10/03 20:41, 3F
10/03 20:58, 2月前 , 4F
10/03 20:58, 4F
10/03 20:59, 2月前 , 5F
內測版本已修復該漏洞
10/03 20:59, 5F
10/03 21:37, 2月前 , 6F
廠商都要這樣才會修
10/03 21:37, 6F
10/03 21:39, 2月前 , 7F
本來是要留一手 沒想到被發現了
10/03 21:39, 7F
10/03 22:05, 2月前 , 8F
SQL injection應該是前幾基本的漏洞了 到底是...
10/03 22:05, 8F
10/03 22:15, 2月前 , 9F
本來下一支想買Oppo的我....
10/03 22:15, 9F
10/03 22:42, 2月前 , 10F
那些有簡訊OTP自動填入的,我記得也都沒有授權,怎
10/03 22:42, 10F
10/03 22:42, 2月前 , 11F
麼做到簡訊來自動填入?
10/03 22:42, 11F
Android系統的話是Google有提供OTP自動填入的API,可以到設定>Google>所有服務> >自動填入與密碼>簡訊驗證碼 去開關
10/03 23:17, 2月前 , 12F
為了電池,下一隻考慮OPPO或realme的說...
10/03 23:17, 12F
10/03 23:19, 2月前 , 13F
怎麼像故意留的,被公開才改
10/03 23:19, 13F
※ 編輯: ferr0204 (1.164.230.178 臺灣), 10/03/2025 23:31:01
10/03 23:34, 2月前 , 14F
OV米裡面O系統最穩定 但也僅止於表面功夫 反正橘子O
10/03 23:34, 14F
10/03 23:34, 2月前 , 15F
S國際版快來了 這種傻逼漏洞撞死不修還是別買這家
10/03 23:34, 15F
10/03 23:34, 2月前 , 16F
*裝死
10/03 23:34, 16F
10/03 23:36, 2月前 , 17F
討論到安全性,剩沒幾家能用的
10/03 23:36, 17F
10/03 23:41, 2月前 , 18F
真的喔,橘子OS要來了
10/03 23:41, 18F
10/04 00:21, 2月前 , 19F
刷卡和很多二階段認證都用簡訊 被偷讀像資安裸奔
10/04 00:21, 19F
10/04 00:31, 2月前 , 20F
畢竟是中華人民共和國企業
10/04 00:31, 20F
10/04 00:47, 2月前 , 21F
鄉民:美國資安廠商不可信 呵呵
10/04 00:47, 21F
10/04 01:02, 2月前 , 22F
系統這個東西有一好沒兩好的,iOS沒有多工,V家殘
10/04 01:02, 22F
10/04 01:02, 2月前 , 23F
缺+功能下放看心情
10/04 01:02, 23F
10/04 01:55, 2月前 , 24F
這種資安 一加還能在美國賣手機??
10/04 01:55, 24F
10/04 03:22, 2月前 , 25F
V國際版會給蘋果連接功能?會開放中國ai功能嗎
10/04 03:22, 25F
10/04 08:36, 2月前 , 26F
漏洞?後門?
10/04 08:36, 26F
10/04 09:03, 2月前 , 27F
連銀行驗證碼都越來越少簡訊,越來越多銀行app發送
10/04 09:03, 27F
10/04 09:03, 2月前 , 28F
,應該是不用太緊張
10/04 09:03, 28F
10/04 09:36, 2月前 , 29F
呵繼續用中國機
10/04 09:36, 29F
10/04 10:32, 2月前 , 30F
感覺不是漏洞 而是刻意留下的
10/04 10:32, 30F
10/04 11:37, 2月前 , 31F
直接繞過
10/04 11:37, 31F
10/05 00:37, 2月前 , 32F
馬來西亞跟另一個地區忘記是哪裡 開放登記橘子OS內
10/05 00:37, 32F
10/05 00:37, 2月前 , 33F
測了
10/05 00:37, 33F
10/06 10:46, 2月前 , 34F
原PO的最初來源網址已經404了???
10/06 10:46, 34F
10/06 16:12, 2月前 , 35F
樓上我看正常,可能網址太長被截斷,用下面縮網址
10/06 16:12, 35F
10/06 16:12, 2月前 , 36F
或複製完整原始網址到瀏覽器
10/06 16:12, 36F
10/06 17:09, 2月前 , 37F
縮網址沒問題,謝謝。
10/06 17:09, 37F
10/06 22:37, 2月前 , 38F
看得到會怎樣?
10/06 22:37, 38F
10/06 23:11, 2月前 , 39F
簡訊可以隨便被讀取很嚴重好嗎?很多帳號登入是靠
10/06 23:11, 39F
10/06 23:11, 2月前 , 40F
輸入簡訊驗證碼來確認身分,社群軟體、遊戲被盜就
10/06 23:11, 40F
10/06 23:11, 2月前 , 41F
算了,如果是電子支付、刷卡驗證之類的就慘了
10/06 23:11, 41F
10/06 23:19, 2月前 , 42F
他又沒有app的密碼 驗證碼我看到就輸入了就沒用了
10/06 23:19, 42F
10/06 23:19, 2月前 , 43F
10/06 23:19, 43F
10/06 23:29, 2月前 , 44F
他也沒有卡號
10/06 23:29, 44F
10/07 01:39, 2月前 , 45F
說不定他早就有密碼和卡號,只差簡訊驗證碼了
10/07 01:39, 45F
更多 ferr0204 的文章
文章代碼(AID): #1etxrxj6 (MobileComm)
MobileComm 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 ferr0204 的文章
文章代碼(AID): #1etxrxj6 (MobileComm)