漏洞说明
类型:数据库注入攻击 1=1 AND
效果:任意 APP 读取短信数据。无需权限、无需用户交互、读取无感知
影响范围:21 年 OxygenOS 12 至今最新的 ColorOs 15 系统(有消息说 OxygenOS 11 及之前的系统无此漏洞)
影响范围更新:19 年发布的 ColorOS 7.1 存在此漏洞,合理推测此漏洞一直存在且将长久保留在无法 OTA 升级的机型上
修复情况:厂商已在 9 月 24 日回应 rapid7 (漏洞发现者)说会修复,预计十月中旬修复
解决方案:普通用户只能看完短信之后及时删除,要彻底删除
解决方案更新:root 用户可下载 yuu_xposed 模块。如何 root 请参考 ColorOS 刷机路径
漏洞影响:本机的所有短信信息、短信验证码泄露
本机测试:安装 apk 执行即可看到数据,如果看不到数据说明你的手机没有被影响
GitHub:https://github.com/yuuouu/ColorOS-CVE-2025-10184
