Alla telefoner som kör Oxygen OS 12, 14 och 15 har en allvarlig sårbarhet som gör att illasinnade appar kan läsa SMS och MMS i smyg, utan tillåtelse. Enligt säkerhetsföretaget Rapid7 beror sårbarheten på ändringar Oneplus gjort i Androids telefonitjänst.

Endast installerade appar kan utnyttja sårbarheten, vilken formellt kallas CVE-2025-10184. Oneplus har bekräftat problemet och kommer täppa till luckan i en uppdatering som börjar skickas ut i mitten av oktober.

Rapid7 rekommenderar att de som har en Oneplus med ett av de berörda systemen endast installerar appar från betrodda källor och vidtar försiktighet fram till att sårbarheten har åtgärdats.