OnePlus: Millionen Nutzer durch SMS-Sicherheitslücke gefährdet

Eine kritische Schwachstelle in OnePlus‘ OxygenOS ermöglicht es jeder installierten App, private SMS und MMS ohne Erlaubnis zu lesen. Die Lücke betrifft Millionen von Geräten weltweit und hebelt einen wichtigen Sicherheitsmechanismus vieler Online-Dienste aus.

Nach der Veröffentlichung durch ein Cybersicherheitsunternehmen bestätigte OnePlus das Problem und kündigte einen Software-Patch an. Besonders brisant: Die Schwachstelle macht SMS-basierte Zwei-Faktor-Authentifizierung praktisch wirkungslos.

Vier Jahre unentdeckt im System

Die als CVE-2025-10184 katalogisierte Sicherheitslücke steckt in OxygenOS-Versionen 12, 14 und 15. Forscher von Rapid7 entdeckten den Fehler, der eine bösartige App dazu befähigt, heimlich sensible Daten abzugreifen – einschließlich Zwei-Faktor-Codes per SMS.

Das Perfide dabei: Kein Nutzer erhält eine Benachrichtigung oder muss seine Zustimmung geben. OnePlus reagierte nach Bekanntwerden und versprach eine globale Verteilung des Fixes ab Mitte Oktober.

Die Schwachstelle ist kein einfacher Programmierfehler, sondern ein fundamentales Problem in OnePlus‘ Android-Modifikationen. Seit der Einführung von OxygenOS 12 im Jahr 2021 klafft diese Lücke im System. Der Grund: OnePlus fügte dem Standard-Android eigene „Content Provider“ hinzu, ohne diese ordnungsgemäß abzusichern.

Angriff ohne Spuren

Diese Komponenten haben keine notwendigen Berechtigungsprüfungen – konkret fehlt eine writePermission für READ_SMS. Kombiniert mit einer Anfälligkeit für SQL-Injection-Angriffe entsteht so ein gefährliches Schlupfloch.

Eine bösartige App kann spezielle Anfragen an die Nachrichten-Datenbank des Geräts senden und deren Inhalt Zeichen für Zeichen extrahieren. Der Vorgang läuft völlig unbemerkt im Hintergrund ab.

Banking-Codes im Visier der Hacker

Die Tragweite dieser Schwachstelle ist dramatisch: Sie macht SMS-basierte Mehrfaktor-Authentifizierung vollständig unbrauchbar. Viele Bank-, Social-Media- und E-Mail-Dienste versenden Einmalpasswörter per SMS zur Identitätsverifizierung.

Mit dieser Lücke könnte eine schädliche App diese Codes abfangen und Angreifern Zugang zu sensiblen Konten verschaffen. Betroffen sind nicht nur einzelne Geräte, sondern eine breite Palette von OnePlus-Smartphones.

Rapid7 bestätigte die Schwachstelle bei OnePlus 8T und OnePlus 10 Pro 5G, vermutet aber alle OnePlus-Geräte mit OxygenOS 12 oder neuer als gefährdet. Geräte mit OxygenOS 11 sind nicht betroffen. Die Nationale Schwachstellen-Datenbank bewertete das Risiko mit 8,2 von 10 Punkten – eine Hochrisiko-Einstufung.

Anzeige: Passend zum Thema Android-Sicherheit: Viele Nutzer übersehen genau diese 5 Schutzmaßnahmen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal auf dem Smartphone besser absichern – ohne teure Zusatz-Apps. Mit Checklisten und klaren Einstellungen für mehr Schutz vor Datenklau und Schadsoftware. Gratis-Sicherheitspaket für Android anfordern

Monatelange Funkstille von OnePlus

Rapid7 entdeckte die Schwachstelle bereits am 1. Mai 2025 und versuchte, OnePlus privat zu informieren. Nach monatelangen erfolglosen Kommunikationsversuchen folgte das Unternehmen am 23. September der Branchenpraxis und veröffentlichte seine Erkenntnisse.

Erst danach reagierte OnePlus. Ein Sprecher erklärte: „Wir bestätigen die kürzliche Offenlegung von CVE-2025-10184 und haben eine Lösung implementiert. Diese wird ab Mitte Oktober global über Software-Updates verteilt.“

Das Beispiel zeigt ein anhaltendes Problem im Android-Ökosystem: Herstellermodifikationen am Basis-Betriebssystem können einzigartige Sicherheitslücken schaffen. Während Anpassungen wie OxygenOS besondere Features bieten sollen, vergrößern sie auch die Angriffsfläche gegenüber Standard-Android.

Sofortiger Handlungsbedarf für Nutzer

OnePlus verspricht den Sicherheitspatch bis Mitte Oktober global zu verteilen. Nutzer sollten das Update sofort installieren, sobald es verfügbar wird. Die Aktualisierung erfolgt wahrscheinlich drahtlos über die System-Update-Einstellungen.

Bis dahin raten Sicherheitsexperten zu äußerster Vorsicht beim App-Download – ausschließlich aus vertrauenswürdigen Quellen wie dem Google Play Store. Noch wichtiger: der sofortige Wechsel von SMS-basierter Zwei-Faktor-Authentifizierung zu sichereren Methoden wie Authenticator-Apps oder physischen Sicherheitsschlüsseln für alle kritischen Konten.

Anzeige: Für alle, die ihr Android jetzt schnell härten möchten: Der kostenlose Leitfaden „Die 5 wichtigsten Schutzmaßnahmen“ erklärt die wirksamsten Einstellungen gegen Datenklau, Schadsoftware und Phishing – mit Schritt-für-Schritt-Anleitungen für Einsteiger. So erhöhen Sie in wenigen Minuten die Sicherheit Ihres Smartphones, ohne Zusatzkosten. Jetzt kostenlos herunterladen