Pengguna OnePlus lagi-lagi harus waspada. Ada celah keamanan besar di OxygenOS (sistem operasi berbasis Android buatan OnePlus) yang memungkinkan aplikasi apa pun di ponsel untuk mengakses data SMS tanpa izin. Masalah ini ditemukan oleh peneliti keamanan dari Rapid7 dan sudah diberi kode CVE-2025-10184.
Celah ini muncul karena OnePlus melakukan modifikasi pada aplikasi Telephony bawaan Android. Mereka menambahkan beberapa provider baru, tapi lupa mengatur izin dengan benar. Akibatnya, aplikasi yang bahkan tidak punya akses SMS bisa tetap “mengintip” pesan di perangkat. Lebih parahnya lagi, ada trik teknis yang memungkinkan aplikasi nakal membaca isi SMS satu karakter demi satu karakter lewat proses yang disebut blind SQL injection.
Vulnerabilitas ini sudah ada sejak OxygenOS 12 hingga versi terbaru OxygenOS 15, artinya banyak perangkat terdampak, termasuk OnePlus 8T sampai OnePlus 10 Pro. Rapid7 sudah coba memberi tahu OnePlus sejak Mei 2025, tapi tidak ada respons sampai akhirnya mereka mempublikasikan temuan ini. Setelah laporan bocor ke publik, barulah OnePlus angkat bicara dan berjanji akan merilis patch global mulai pertengahan Oktober.
Dari sisi pengguna, risiko yang paling bikin deg-degan adalah OTP (kode verifikasi) untuk login atau transaksi bisa disadap tanpa sepengetahuan pemilik ponsel. Jadi, sebelum update resmi dirilis, ada baiknya pengguna OnePlus membatasi jumlah aplikasi yang dipasang, hanya pakai aplikasi dari penerbit terpercaya, dan beralih dari SMS OTP ke aplikasi autentikasi seperti Google Authenticator.
Kalau dipikir-pikir, kasus ini bikin reputasi OnePlus sedikit tercoreng. Brand yang dikenal dengan ponsel “flagship killer” seharusnya punya standar keamanan yang lebih ketat. Untungnya patch sedang disiapkan, tapi keterlambatan respons ini bisa bikin pengguna jadi ragu. Dalam industri smartphone yang sangat kompetitif, kepercayaan pengguna sama berharganya dengan spesifikasi tinggi.