OnePlus: SMS-Leck bedroht Millionen Nutzer

Während Google Android mit neuen Sicherheitsfeatures stärkt, kämpft OnePlus gegen eine kritische Schwachstelle. Ein Fehler in der OxygenOS-Software ermöglicht es Apps, heimlich SMS zu lesen – ohne Berechtigung oder Nutzerwarnung.

Die Cybersecurity-Firma Rapid7 deckte diese Woche eine schwerwiegende Sicherheitslücke auf, die Millionen OnePlus-Geräte betrifft. Der unter CVE-2025-10184 geführte Fehler ermöglicht es jeder installierten App, SMS und MMS samt Metadaten auszulesen – völlig unbemerkt vom Nutzer.

Besonders brisant: Auch Zwei-Faktor-Authentifizierungscodes sind betroffen. Was eigentlich die Sicherheit erhöhen soll, wird plötzlich zur Schwachstelle. Nutzer erhalten keinerlei Warnung, wenn ihre Nachrichten abgegriffen werden.

Die Schwachstelle entstand durch Änderungen, die OnePlus ab OxygenOS 12 am Android-Kernsystem vornahm. Das Unternehmen fügte zusätzliche Content Provider hinzu, konfigurierte jedoch die Schreibberechtigungen fehlerhaft. Diese Nachlässigkeit öffnet Tür und Tor für sogenannte „Blind SQL Injection“-Angriffe.

Betroffen sind alle OnePlus-Geräte mit OxygenOS-Versionen 12 bis 15 – das dürften Millionen Smartphones der vergangenen Jahre sein. Nur ältere Geräte mit OxygenOS 11 bleiben verschont.

Verspätete Reaktion nach öffentlichem Druck

OnePlus bestätigte das Problem erst nach der öffentlichen Enthüllung. „Wir haben einen Fix implementiert“, erklärte ein Sprecher. Der Patch soll Mitte Oktober global verteilt werden.

Doch die Zeitschiene wirft Fragen auf: Rapid7 hatte bereits seit Mai vergeblich versucht, OnePlus und die Muttergesellschaft zu kontaktieren. Erst die öffentliche Veröffentlichung brachte Bewegung in die Sache.

Bis zum Patch raten Experten zu äußerster Vorsicht. Apps sollten nur aus vertrauenswürdigen Quellen installiert werden. Noch wichtiger: Der Wechsel von SMS-basierter zu App-basierter Zwei-Faktor-Authentifizierung.
Anzeige: Passend zum Thema Android-Sicherheit: Viele Nutzer schützen ihr Smartphone im Alltag nicht konsequent – gerade wenn SMS-Codes mitgelesen werden könnten. Ein kostenloser Ratgeber erklärt Schritt für Schritt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Gerät – ohne teure Zusatz-Apps, inklusive Checklisten für geprüfte Apps, sichere Updates sowie WhatsApp-, Banking- und Shopping-Tipps. Jetzt kostenloses Android-Sicherheitspaket sichern

Google kontert mit proaktiver Sicherheit

Während OnePlus Schadensbegrenzung betreibt, geht Google in die Offensive. Das Unternehmen rollt über Google Play Services eine neue automatische Neustart-Funktion aus. Nach drei Tagen Inaktivität startet sich das Gerät automatisch neu.

Das Ziel: Das Smartphone fällt in den hochsicheren „Before First Unlock“-Zustand zurück. Alle Daten sind dann vollständig verschlüsselt, biometrische Entsperrung deaktiviert. Nur noch PIN, Passwort oder Muster gewähren Zugang.

Diese Strategie erschwert Datendiebstahl erheblich – sowohl für Kriminelle als auch für forensische Tools, die oft den weniger sicheren „After First Unlock“-Modus ausnutzen.

Lehrstück über zwei Sicherheitsphilosophien

Die Ereignisse dieser Woche zeigen zwei grundverschiedene Ansätze: Google entwickelt präventive, systemweite Schutzmaßnahmen für das gesamte Android-Ökosystem. OnePlus hingegen muss reaktiv Löcher stopfen, die durch eigene Anpassungen entstanden.

Hier liegt das Dilemma: Hersteller-Modifikationen können einzigartige Features ermöglichen, schaffen aber auch neue Angriffsflächen. OnePlus‘ verzögerter Response verdeutlicht die Herausforderungen im fragmentierten Android-Universum.

Die nächsten Wochen werden zeigen, ob OnePlus das Vertrauen seiner Nutzer zurückgewinnen kann. Der Oktober-Patch ist nur der erste Schritt – eine grundsätzliche Überprüfung der Sicherheitsprozesse dürfte folgen.