Sicherheitsforscher entdecken schwerwiegende Schwachstelle in OxygenOS. Jede App kann unbemerkt SMS-Nachrichten auslesen – Banking-Codes und private Chats sind gefährdet.

Eine brisante Sicherheitslücke macht OnePlus-Smartphones zu einem gefundenen Fressen für Cyberkriminelle. Wie das Sicherheitsunternehmen Rapid7 heute bekannt gab, können beliebige Apps unbemerkt alle SMS- und MMS-Nachrichten auslesen – ohne dass Nutzer davon erfahren oder ihre Zustimmung geben.

Die als CVE-2025-10184 gelistete Schwachstelle erhält eine hohe Risikoeinstufung von 8,2 Punkten. Besonders brisant: Angreifer können SMS-basierte Zwei-Faktor-Authentifizierung aushebeln, indem sie Bestätigungscodes für Banking-Apps oder soziale Netzwerke abfangen. OnePlus hat das Problem bislang nicht behoben.

Lautloser Datenklau im Hintergrund

Das Perfide an der Schwachstelle: Sie arbeitet völlig unsichtbar. Betroffene Nutzer erhalten keinerlei Warnung, dass ihre privaten Nachrichten gerade ausgelesen werden. Der Grund liegt in einem fehlerhaften internen Android-Baustein, der sensible Datenbanken ohne ordnungsgemäße Berechtigung freigibt.

Rapid7 zufolge nutzt die Lücke sogenannte SQL-Injection-Angriffe aus, um an die komplette SMS-Historie zu gelangen. Selbst Apps ohne besondere Berechtigungen können so die Nachrichtendatenbank abfragen. Die Forscher vermuten, dass die Schwachstelle bereits seit Ende 2021 mit OxygenOS 12 existiert.

Betroffen sind unter anderem das OnePlus 8T und das OnePlus 10 Pro 5G. Da der fehlerhafte Code Teil des Android-Systems ist, könnten auch Geräte anderer Hersteller verwundbar sein.

SMS-Malware explodiert förmlich

Die OnePlus-Lücke trifft auf eine ohnehin angespannte Sicherheitslage. Malwarebytes meldete zwischen April und Mai dieses Jahres einen dramatischen Anstieg von SMS-Schadsoftware um 692 Prozent.

Kriminelle setzen verstärkt auf sogenannte "Dropper"-Apps, die sich als legitime Behörden- oder Bank-Anwendungen tarnen. Einmal installiert, leiten Schädlinge wie "SmForw.ko" alle eingehenden Nachrichten an Angreifer weiter. Die Malware "AntiDot" geht noch einen Schritt weiter und wird zur Standard-SMS-App, um sämtliche Nachrichten sowie Tastatureingaben und Bildschirminhalte zu erfassen.

Diese Entwicklung zeigt: SMS wird zur neuen Goldgrube für Cyberkriminelle. Denn über Textnachrichten laufen nicht nur private Gespräche, sondern auch kritische Sicherheitscodes für Online-Banking und andere sensible Dienste.

Anzeige: Die Zahlen zu SMS‑Malware und der ungepatchten OnePlus‑Lücke zeigen, wie dringend Android-Nutzer jetzt handeln sollten. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen – leicht verständlich und ohne teure Zusatz‑Apps, inklusive Checklisten für WhatsApp, Online‑Banking und Shopping. Sichern Sie Ihr Smartphone in wenigen Minuten: Kostenloses Android‑Sicherheitspaket anfordern

Google verschärft Sicherheits-Updates

Parallel dazu verstärkt Google seine Bemühungen um Android-Sicherheit. Das September-Update 2025 schließt 120 Schwachstellen – deutlich mehr als in vorherigen Monaten. Darunter befinden sich zwei Zero-Day-Lücken, die bereits aktiv ausgenutzt wurden.

Die Patches mit dem Sicherheitslevel 2025-09-05 beheben unter anderem kritische Fehler, die Angreifern Fernzugriff ohne Nutzer-Interaktion ermöglichen könnten. Auch wenn sie nicht direkt mit der OnePlus-Problematik zusammenhängen, verdeutlichen sie das anhaltende Katz-und-Maus-Spiel zwischen Plattform-Entwicklern und Hackern.

Überwachung und politische Repression im Fokus

Besonders brisant wird die Lücke durch ihre möglichen Einsatzzwecke jenseits der Cyberkriminalität. "Ein so weitreichendes Problem könnte sowohl staatlichen Akteuren bei der Überwachung als auch autoritären Regimen bei der Unterdrückung politischer Dissidenten helfen", warnt Rapid7.

Die Tatsache, dass die Schwachstelle möglicherweise seit 2021 unentdeckt blieb, wirft Fragen über das Ausmaß potenzieller Spionage auf. SMS enthalten oft hochsensible Informationen – von Terminen über Standortdaten bis hin zu politischen Meinungsäußerungen.

Sofort-Maßnahmen für Betroffene

OnePlus-Nutzer sollten äußerste Vorsicht walten lassen, welche Apps sie installieren. Da die Lücke noch nicht geschlossen ist, besteht weiterhin hohes Risiko. Experten raten außerdem, SMS-basierte Zwei-Faktor-Authentifizierung durch Authenticator-Apps oder Hardware-Sicherheitsschlüssel zu ersetzen.

Anzeige: Wer SMS‑Codes für Banking oder Logins nutzt, sollte sein Gerät zusätzlich absichern. Der Gratis‑Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ zeigt Schritt für Schritt, wie Sie Angriffsflächen reduzieren, Apps prüfen und Updates richtig einrichten – ideal für Alltagsnutzer. Jetzt den kostenlosen Sicherheits‑Guide herunterladen

Alle Android-Nutzer sollten umgehend prüfen, ob das September-Update mit Patch-Level 2025-09-05 installiert ist. Angesichts der rasanten Entwicklung bei SMS-Schadsoftware wird dieser Kommunikationskanal immer kritischer für die mobile Sicherheit.