A descoberta da falha
Os smartphones OnePlus, conhecidos pelo bom custo-benefício em diversos países, agora enfrentam uma polêmica séria ligada à segurança digital. A empresa de cibersegurança Rapid7 revelou uma vulnerabilidade classificada como severa que permite que aplicativos maliciosos acessem SMS e MMS sem permissão do usuário.
A falha foi identificada em versões recentes do sistema OxygenOS, utilizado pela OnePlus como interface e modificação própria do Android. O problema foi catalogado no documento CVE-2025-10184 e registrado com severidade 8,2/10, caracterizando risco alto para os consumidores.
Modelos e versões afetados
A vulnerabilidade não está presente em todos os modelos. Foram confirmados problemas em aparelhos OnePlus 8T e OnePlus 10 Pro rodando OxygenOS 12, 14 e 15. Modelos com OxygenOS 11 não foram afetados.
No entanto, como o bug atinge um componente central do sistema Android modificado pela OnePlus, pesquisadores acreditam que outros modelos da fabricante usando essas versões também podem estar expostos.
Como funciona a vulnerabilidade
De acordo com a Rapid7, a falha está ligada a modificações feitas no serviço de telefonia do Android pela OnePlus. O problema envolve permissões de gravação em provedores de conteúdo do sistema e até uma falha de injeção SQL cega no método de atualização desses provedores.
Isso significa que aplicativos de aparência comum – mas criados com más intenções – podem acessar mensagens privadas sem interação, aviso ou consentimento do dono do celular.
Na prática, criminosos poderiam roubar códigos de autenticação via SMS, mensagens pessoais e até detalhes enviados por aplicativos que ainda dependem do protocolo SMS/MMS.
Impacto para usuários
A falha representa um risco sério, especialmente porque muitos serviços bancários e contas online ainda utilizam SMS como fator de autenticação. Dessa forma, o acesso não autorizado poderia gerar fraudes, invasões e até clonagem de contas digitais.
Além das questões financeiras, essa vulnerabilidade levanta preocupações de privacidade, já que expõe trocas pessoais que deveriam estar protegidas por mecanismos de segurança modernos.
A resposta da OnePlus
A fabricante reconheceu o problema, mas anunciou que a correção só será liberada em outubro de 2025. A notícia trouxe frustração para usuários e especialistas, já que os riscos estão ativos e exploráveis até a chegada do patch de atualização.
Segundo nota oficial enviada ao site 9to5Google, a companhia está trabalhando em conjunto com parceiros de segurança para resolver a vulnerabilidade e distribuir a correção de forma global.
Como se proteger até a atualização
Enquanto a correção não chega, especialistas recomendam precauções importantes:
- Instale apenas aplicativos de fontes confiáveis, preferencialmente das lojas oficiais.
- Evite depender da autenticação de dois fatores via SMS; prefira aplicativos autenticadores ou chaves de segurança.
- Utilize aplicativos de mensagens criptografados, como Signal ou WhatsApp, para evitar possíveis interceptações.
- Mantenha o sistema operacional atualizado e verifique regularmente se o patch foi disponibilizado.
Conclusão
A vulnerabilidade no OxygenOS mostra como até marcas respeitadas podem falhar ao alterar sistemas complexos como o Android. A espera até outubro traz apreensão, mas também alerta milhões de usuários para os riscos do uso de mensagens SMS. Uma lição clara emerge: a segurança digital precisa ser prioridade em um mundo cada vez mais mobile.
