OnePlus: Millionen Smartphones durch Sicherheitslücke bedroht

Eine kritische Schwachstelle im beliebten Smartphone-Betriebssystem zeigt erschreckend deutlich: Die Sicherheitsmethoden für sensible Online-Konten sind gefährlich anfällig. Der chinesische Hersteller OnePlus bestätigte eine gravierende Sicherheitslücke in seinem OxygenOS – betroffen sind alle Versionen 12 bis 15.

Die als CVE-2025-10184 katalogisierte Schwachstelle ermöglicht es bösartigen Apps, heimlich SMS-Nachrichten zu lesen. Damit können Angreifer direkt auf sensible Informationen zugreifen – einschließlich der für Zwei-Faktor-Authentifizierung genutzten Einmalpasswörter. Millionen von Geräten der vergangenen vier Jahre sind betroffen.

Gefährliche Systemänderungen mit Folgen

Die Sicherheitslücke entstand durch Änderungen am Android-Kernsystem, die OnePlus ab 2021 vornahm. Forscher des Sicherheitsunternehmens Rapid7 entdeckten das Problem: Die Modifikationen sicherten Schreibberechtigungen unzureichend ab.

Jede installierte App kann dadurch SMS-Daten ohne Nutzererlaubnis oder sichtbare Benachrichtigung auslesen. Angreifer erhalten so direkten Zugang zu Authentifizierungscodes für Banking, soziale Medien und andere kritische Online-Dienste.

OnePlus kündigte einen Sicherheitspatch für Mitte Oktober an. Bis dahin bleiben Nutzer beliebter Modelle wie OnePlus 8T und 10 Pro ungeschützt. Sicherheitsexperten raten dringend zur Überprüfung installierter Apps und zum Wechsel auf sicherere Authentifizierungsmethoden.
Anzeige: Bis OnePlus den Patch ausrollt, sollten Android-Nutzer ihre Geräte konsequent absichern. Ein kostenloser Ratgeber bündelt die 5 wichtigsten Schutzmaßnahmen – mit einfachen Schritt-für-Schritt-Anleitungen für WhatsApp, Online‑Banking, PayPal und Co., ganz ohne teure Zusatz-Apps. Schließen Sie typische Lücken, prüfen Sie App‑Berechtigungen und richten Sie wichtige Sicherheitsfunktionen richtig ein. Jetzt das kostenlose Android‑Sicherheitspaket anfordern

SMS-Sicherheit: Ein bröckelndes Fundament

Der OnePlus-Vorfall verdeutlicht die bekannten Schwächen SMS-basierter Authentifizierung. Obwohl besser als einfache Passwörter, gilt SMS-basierte Zwei-Faktor-Authentifizierung als schwächste Form der Mehrfachauthentifizierung.

Angreifer können Textnachrichten durch verschiedene Methoden abfangen – etwa durch SIM-Swapping-Attacken, bei denen sie Mobilfunkanbieter zur Übertragung der Rufnummer auf eine neue SIM-Karte verleiten. Die OxygenOS-Lücke zeigt einen weiteren Angriffsvektor: die direkte Kompromittierung des Geräts.
Anzeige: Wer weiterhin SMS für Codes empfängt, sollte sein Android zumindest maximal abhärten. Der kostenlose Leitfaden erklärt die 5 wichtigsten Maßnahmen – von Berechtigungs-Checks bis Update-Strategie – damit Schad-Apps keine Chance haben. Inklusive praktischer Checklisten, leicht verständlich aufbereitet. Kostenlosen Sicherheits‑Guide für Android laden

Die US-Verbraucherschutzbehörde warnte bereits vor unzureichenden Sicherheitspraktiken, die Verbraucher erheblich schädigen können. Diese Erkenntnisse beschleunigen den Druck auf sicherere, phishing-resistente Authentifizierungsmethoden.

Explosionsartige Zunahme der Cyberbedrohungen

Die OnePlus-Schwachstelle ist Teil eines viel größeren Bedrohungsszenarios. Datendiebstahl erreichte 2025 neue Höchststände: Ein aktueller Report zeigt einen Anstieg um 160 Prozent bei Credential-Diebständen, die inzwischen 20 Prozent aller Datenlecks ausmachen.

Cyberkriminelle nutzen verstärkt Künstliche Intelligenz für überzeugende, personalisierte Phishing-Angriffe. Microsoft blockierte kürzlich eine Kampagne, die KI-generierten Code zur Verschleierung schädlicher Inhalte verwendete. Diese Taktiken führten zu schwerwiegenden Datenlecks bei Unternehmen wie TransUnion und dem Luxuskonzern Kering.

Sicherheit contra Komfort: Ein gefährlicher Kompromiss

Die Persistent SMS-basierter Authentifizierung verdeutlicht den Konflikt zwischen Sicherheit und Benutzerfreundlichkeit. SMS ist jahrelang Standard gewesen, weil es universell verfügbar ist und keine speziellen Apps oder Hardware erfordert.

Ein 2025er Okta-Report zeigt: 68 Prozent der Nutzer verwenden Passwörter mehrfach – ein Verhalten, das Angreifern die Arbeit erheblich erleichtert. Diese schlechte Passwort-Hygiene kombiniert mit anfälligen Authentifizierungsmethoden schafft ideale Bedingungen für Kontoübernahmen.

Besonders Finanz- und Einzelhandelsunternehmen stehen im Fokus der Angreifer. Die kontinuierlichen Datenlecks 2025 – von Luxushändlern wie Harrods bis zu Automobilriesen wie Jaguar Land Rover – zeigen systemische Probleme in nahezu allen Branchen.

Passwortlose Zukunft als notwendige Antwort

Die Cybersicherheitsbranche beschleunigt den Übergang zu sichereren, passwortlosen Authentifizierungsmethoden. Technologien wie FIDO2 und WebAuthn nutzen Smartphones oder physische Sicherheitsschlüssel zur Identitätsprüfung – sie eliminieren Passwort-Diebstahl-Risiken und sind phishing-resistent.

Auch biometrische Authentifizierung über Fingerabdruck oder Gesichtserkennung wird häufiger eingesetzt. Für Verbraucher bedeutet das erhöhte Wachsamkeit: Sicherheitsexperten empfehlen Zwei-Faktor-Authentifizierung für alle sensiblen Konten, bevorzugt über Authenticator-Apps statt SMS, sowie starke, einzigartige Passwörter.

Da Angreifer kontinuierlich innovieren – besonders mit KI-Unterstützung – liegt die Verantwortung sowohl bei Unternehmen für stärkere Authentifizierungsoptionen als auch bei Verbrauchern für deren Nutzung.