OnePlus: SMS werden von Apps unbemerkt ausgelesen

Eine kritische Sicherheitslücke in OnePlus-Smartphones ermöglicht es Apps, SMS-Nachrichten unbemerkt zu stehlen. Millionen Geräte sind betroffen – der Hersteller reagierte erst auf öffentlichen Druck.

Cybersicherheitsexperten schlagen Alarm: Eine schwerwiegende Schwachstelle in OnePlus-Handys hebelt grundlegende Android-Schutzmechanismen aus. Schädliche Apps können so SMS und MMS unbemerkt abgreifen – ohne dass Nutzer eine Berechtigung erteilen müssen. Die Sicherheitsfirma Rapid7 ging nach monatelangen erfolglosen Kontaktversuchen mit OnePlus an die Öffentlichkeit.

Die als CVE-2025-10184 klassifizierte Lücke erhielt eine hohe Bedrohungsstufe von 8,2 Punkten. Sie betrifft OnePlus-Geräte mit OxygenOS 12 und neueren Versionen. Besonders brisant: Angreifer können Zwei-Faktor-Codes abfangen, die viele Online-Dienste zur Kontoabsicherung versenden.

OnePlus reagierte erst heute auf die Veröffentlichung und bestätigte, das Problem zu untersuchen. Ein Zeitplan für einen Sicherheitsupdate steht noch aus.

Wie die Attacke funktioniert

Die Schwachstelle sitzt tief im System von OxygenOS, OnePlus‘ Android-Variante. Rapid7-Forscher entdeckten, dass bestimmte Systemkomponenten unzureichend abgesichert sind. Angreifer können dies für sogenannte SQL-Injection-Angriffe nutzen.

Eine scheinbar harmlose App kann nach der Installation stillschweigend die SMS-Datenbank durchforsten und Nachrichten Zeichen für Zeichen extrahieren. Das Perfide: Der Vorgang läuft komplett im Hintergrund ab, ohne Benachrichtigungen oder Berechtigungsanfragen.

Normalerweise müssen Apps explizit um die „READ_SMS“-Berechtigung bitten, bevor sie Textnachrichten lesen dürfen. Diese grundlegende Android-Schutzfunktion wird durch die OnePlus-Lücke ausgehebelt. Die Schwachstelle besteht vermutlich seit Ende 2021, als OxygenOS 12 eingeführt wurde.

Welche Geräte sind gefährdet?

Rapid7 bestätigte die Sicherheitslücke auf dem OnePlus 8T (OxygenOS 12) und OnePlus 10 Pro 5G (OxygenOS 14 und 15). Die Forscher gehen davon aus, dass praktisch alle OnePlus-Smartphones mit OxygenOS 12 oder neuer betroffen sind. Nur Geräte mit dem älteren OxygenOS 11 scheinen sicher zu sein.

Besonders gefährlich wird es bei der Zwei-Faktor-Authentifizierung. Viele Online-Dienste – von Banken bis Social Media – versenden Einmal-Codes per SMS zur Identitätsprüfung. Eine schädliche App könnte diese Codes abfangen und Hackern Zugang zu Nutzerkonten verschaffen.

„Das könnte zur Preisgabe sensibler Informationen führen und den Schutz durch SMS-basierte Zwei-Faktor-Authentifizierung effektiv aushebeln“, warnt Rapid7. Auch für Überwachungszwecke sei die Lücke ein gefährliches Werkzeug.

Monatelange Funkstille von OnePlus

Rapid7 versuchte bereits seit Mai 2025, OnePlus über die Schwachstelle zu informieren – vergeblich. Auch Kontaktversuche über den verwandten Smartphone-Hersteller Oppo scheiterten. Das Unternehmen nahm an OnePlus‘ Bug-Bounty-Programm nicht teil, da die Vertraulichkeitsvereinbarung zu restriktiv gewesen sei.

Erst die öffentliche Warnung vor der ungepatchten Lücke brachte Bewegung in die Sache. OnePlus meldete sich heute bei Rapid7 und bestätigte, das Problem zu untersuchen. Wann ein Sicherheitsupdate kommt, ist unklar.

Was Nutzer jetzt tun sollten

Solange kein Patch verfügbar ist, müssen OnePlus-Nutzer selbst aktiv werden. Experten raten dringend dazu, nur vertrauenswürdige Apps aus dem Google Play Store zu installieren und unnötige Programme zu deinstallieren.

Noch wichtiger: Nutzer sollten wo möglich von SMS-basierter Zwei-Faktor-Authentifizierung wegkommen. Sicherere Alternativen sind Authentifizierungs-Apps wie Google Authenticator oder physische Sicherheitsschlüssel.

Anzeige: Für alle, die ihr Android jetzt schnell besser schützen wollen: Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen – leicht verständlich und ohne teure Zusatz-Apps. Ideal, wenn Sie WhatsApp, Online‑Banking oder PayPal nutzen und Berechtigungen, geprüfte Apps sowie entscheidende Sicherheitsfunktionen richtig einstellen möchten. Gratis: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone

Wie OnePlus mit dieser Sicherheitslücke umgeht, wird zum Prüfstein für das Unternehmen. Nach monatelangem Schweigen steht der Hersteller unter Druck, schnell zu handeln und das Vertrauen seiner Nutzer zurückzugewinnen.