OnePlus-Sicherheitslücke gefährdet Millionen SMS-Nachrichten

Eine kritische Schwachstelle in OnePlus-Smartphones wurde diese Woche öffentlich, wodurch Millionen Nutzer Gefahr laufen, dass ihre privaten Textnachrichten heimlich von Apps gestohlen werden. Die Entdeckung erfolgt inmitten einer wachsenden Welle raffinierter Android-Bedrohungen, die von großangelegten SMS-Malware-Kampagnen bis hin zu bereits vorinstallierten Schadprogrammen reichen.

Die als CVE-2025-10184 klassifizierte Sicherheitslücke betrifft eine breite Palette von OnePlus-Geräten mit OxygenOS-Versionen 12, 14 und 15. Laut der Cybersecurity-Firma Rapid7 können installierte Apps über diese Schwachstelle SMS- und MMS-Nachrichten auslesen und abgreifen – ohne Berechtigung oder Benachrichtigung der Nutzer.

Besonders brisant: Textnachrichten werden häufig für sensible Kommunikation genutzt, darunter Zwei-Faktor-Authentifizierungscodes, Banking-Nachrichten und private Gespräche. OnePlus bestätigte die Schwachstelle, erklärte jedoch, eine Lösung werde erst Mitte Oktober verfügbar sein.

Unsichtbare Bedrohung durch Herstellermodifikationen

Die Schwachstelle verdeutlicht eine bedeutende Gefahr im Android-Ökosystem: Herstellermodifikationen am Betriebssystem können ungewollt schwerwiegende Sicherheitslücken schaffen. Das Problem, das in älteren Versionen wie OxygenOS 11 nicht auftritt, entstand durch Änderungen an Androids Telefonie-Service. Diese Modifikation ermöglicht es, Berechtigungen zu umgehen und verwandelt die SMS-Datenbank praktisch in ein offenes Buch.

Rapid7 bestätigte die Schwachstelle bei OnePlus 8T und OnePlus 10 Pro 5G, warnt aber, dass wahrscheinlich alle OnePlus-Geräte mit den betroffenen OxygenOS-Versionen betroffen sind. Das Horrorszenario für Nutzer ist der lautlose Diebstahl sensibler Daten. Schädliche Apps könnten unbemerkt Zwei-Faktor-Codes abgreifen oder private Unterhaltungen ausspionieren.

Sicherheitsexperten raten dringend: Wechseln Sie von SMS-basierter Zwei-Faktor-Authentifizierung zu sichereren Authenticator-Apps und installieren Sie nur vertrauenswürdige Anwendungen.

Anzeige: Übrigens: Wer sein Android-Smartphone jetzt gezielt gegen SMS‑Stealer, Spyware und Banking‑Betrug absichern möchte, findet praktische Hilfe in einem kostenlosen Ratgeber. Er zeigt die 5 wichtigsten Schutzmaßnahmen – Schritt für Schritt und ohne teure Zusatz‑Apps. Ideal für WhatsApp, Online‑Shopping, PayPal und Online‑Banking. Gratis: 5 Schutzmaßnahmen für Ihr Android‑Smartphone sichern

SMS-Stealer: Die neue Goldgrube für Cyberkriminelle

Die OnePlus-Schwachstelle spiegelt den enormen Wert wider, den Cyberkriminelle SMS-Daten beimessen. Sicherheitsforscher beobachten eine bedeutende Entwicklung: Dropper-Apps verbreiten zunehmend einfachere, aber effektive SMS-Stealer und Spyware. Diese Taktik umgeht Googles verschärfte Sicherheitsmaßnahmen, da die Malware zunächst weniger verdächtige Berechtigungen anfordert.

Ein massiver Fall verdeutlicht das Ausmaß der Bedrohung: Zimperium-Forscher deckten eine „SMS Stealer“-Kampagne mit über 107.000 einzigartigen Malware-Samples auf, die mehr als 600 globale Marken ins Visier nimmt. Diese Operation konzentriert sich auf das Abfangen von Einmal-Passwörtern per SMS, was zu kompletten Account-Übernahmen und Finanzbetrügereien führen kann.

Die schädlichen Apps verbreiten sich hauptsächlich über irreführende Werbung, gefälschte Download-Seiten und tausende automatisierte Telegram-Bots.

Vorinstallierte Malware: Die unsichtbare Gefahr

Noch beunruhigender ist Malware, die bereits beim Kauf auf dem Gerät installiert ist. Diese Supply-Chain-Angriffe betreffen oft günstige, markenlose oder gefälschte Smartphones. Die Schadsoftware ist tief im System verankert und übersteht sogar Factory-Resets.

Prominente Beispiele:
– Triada-Backdoor: Stiehlt Login-Daten und kann sogar Kryptowährungs-Wallet-Adressen in der Zwischenablage austauschen
– BadBox 2.0: Infizierte Millionen günstiger Android-TV-Boxen und ermöglicht Ransomware-Angriffe

Google hat rechtliche Schritte gegen BadBox-Betreiber eingeleitet, während das FBI Verbraucher vor nicht Play Protect-zertifizierten Geräten warnt.

Katz-und-Maus-Spiel verschärft sich

Die aktuelle Android-Bedrohungslage zeigt ein klares Wettrüsten zwischen Cyberkriminellen und Sicherheitsanbietern. Während Google Android mit Initiativen wie Play Protect stärkt, verfeinern Angreifer kontinuierlich ihre Taktiken.

Alarmierende Zahlen: Laut Kaspersky stiegen Angriffe auf Android-Nutzer in der ersten Jahreshälfte 2025 um 29 Prozent gegenüber dem Vorjahr. Banking-Trojaner und betrügerische Apps führen die Liste an.

Die OnePlus-Schwachstelle unterstreicht auch die Fragmentierung des Android-Ökosystems. Während Google Basis-Sicherheit bereitstellt, liegt die finale Implementierung bei den Herstellern. Anpassungen können Schwachstellen einführen, die Googles Sicherheitsmodell nicht berücksichtigt.

Schutzmaßnahmen für Nutzer

Angesichts eskalierender Bedrohungen bleibt Wachsamkeit die beste Verteidigung. Diese Schritte sind entscheidend:

• Sofortige Updates: Aktivieren Sie automatische Updates oder prüfen Sie manuell auf neueste Patches
• Nur offizielle Quellen: Laden Sie Apps ausschließlich über den Google Play Store herunter
• Authenticator-Apps nutzen: Diese bieten sicherere Zwei-Faktor-Authentifizierung als SMS
• Gerätezertifizierung prüfen: Achten Sie beim Kauf auf „Play Protect-Zertifizierung“

Googles September-2025-Update behob bereits 120 Schwachstellen, darunter zwei aktiv ausgenutzte Zero-Day-Lücken. Dies unterstreicht die kritische Bedeutung zeitnaher Software-Updates für die mobile Sicherheit.