Eine gefährliche Schwachstelle in OnePlus' OxygenOS könnte bösartige Apps zum Diebstahl sensibler SMS-Nachrichten befähigen - ohne jede Nutzererlaubnis. Die Cybersecurity-Firma Rapid7 veröffentlichte die Entdeckung nach monatelangem Schweigen des chinesischen Smartphone-Herstellers. Erst nach der öffentlichen Warnung reagierte OnePlus und kündigte ein Update für Mitte Oktober an.

Die als CVE-2025-10184 katalogisierte Lücke hebelt zentrale Android-Sicherheitsmechanismen aus. Angreifer könnten so SMS-Nachrichten abfangen - einschließlich Zwei-Faktor-Authentifizierungscodes und privater Konversationen. Betroffen sind mehrere OxygenOS-Versionen und damit potenziell Millionen von OnePlus-Geräten weltweit.

Gefährliche Modifikationen am Android-System

Die Schwachstelle entstand durch OnePlus' eigenmächtige Änderungen am Standard-Android-Telefonie-Paket. Das Unternehmen führte zusätzliche Content Provider ein, die jedoch unzureichend abgesichert wurden. Dadurch können beliebige Apps auf dem Gerät darauf zugreifen - selbst ohne explizite SMS-Berechtigung.

Verschärft wird das Problem durch eine SQL-Injection-Anfälligkeit. Angreifer könnten dadurch komplette SMS-Inhalte aus der zugrundeliegenden Datenbank rekonstruieren. Eine bösartige App würde völlig unbemerkt im Hintergrund agieren, ohne den Nutzer über den Datendiebstahl zu informieren.

Die Rapid7-Forscher demonstrierten dies mit einer Proof-of-Concept-Anwendung: Sie benötigte keinerlei spezielle Berechtigungen, um Inhalte aktueller Textnachrichten zu erschließen.

Monatelanges Schweigen trotz Warnungen

Bereits im Mai versuchte Rapid7 erstmals, OnePlus über die Entdeckung zu informieren. Nach sieben erfolglosen Kontaktversuchen über verschiedene Kanäle entschieden sich die Sicherheitsforscher für die öffentliche Warnung.

Erst nach den Medienberichten vom 23. und 24. September reagierte OnePlus: "Wir bestätigen die Offenlegung von CVE-2025-10184 und haben eine Lösung implementiert. Diese wird ab Mitte Oktober global über Software-Updates bereitgestellt." Die monatelange Verzögerung stößt auf scharfe Kritik und verdeutlicht die Herausforderungen beim verantwortlichen Melden von Sicherheitslücken.

Wachsende Bedrohung für Android-Nutzer

Die OnePlus-Schwachstelle fällt in eine Zeit verstärkter SMS-basierter Cyberangriffe auf Android-Geräte. Für 2025 verzeichnen Experten einen drastischen Anstieg solcher Attacken. Kriminelle setzen dabei zunehmend auf Dropper-Apps und andere raffinierte Methoden, um SMS-Nachrichten, Banking-Daten und persönliche Informationen zu stehlen.

Was die OnePlus-Lücke besonders gefährlich macht: Sie funktioniert ohne jede Nutzerinteraktion oder spezielle Berechtigungen. Selbst vorsichtige Anwender könnten überrascht werden - anders als bei vielen anderen Bedrohungen, die erst nach Installation verdächtiger Apps oder Gewährung weitreichender Berechtigungen zuschlagen.

Sofortmaßnahmen für betroffene Nutzer

Bis zum Oktober-Update sollten OnePlus-Besitzer unverzüglich verdächtige oder unnötige Apps von ihren Geräten entfernen. Sicherheitsexperten raten dringend zum Wechsel von SMS-basierter Zwei-Faktor-Authentifizierung zu sichereren Alternativen wie Authenticator-Apps oder Hardware-Sicherheitsschlüsseln.

Anzeige: Übrigens: Wer sein Android-Smartphone jetzt schnell besser absichern will, sollte die wichtigsten Basismaßnahmen kennen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online-Banking & Co. ohne teure Zusatz-Apps schützen – inklusive Checklisten für Updates, App-Prüfungen und Gerätesperren. Ideal für alle, die ihre Daten zuverlässig vor Datendieben schützen möchten. Jetzt das kostenlose Android-Sicherheitspaket sichern

Für sensitive Kommunikation empfiehlt sich der Umstieg auf Ende-zu-Ende-verschlüsselte Messenger anstelle von SMS. Sobald OnePlus das angekündigte Sicherheitsupdate bereitstellt, sollten Nutzer es umgehend installieren.

Lehren für die Branche

Der Fall CVE-2025-10184 verdeutlicht die Risiken herstellerspezifischer Android-Modifikationen. Während das kommende Update diese konkrete Schwachstelle schließen wird, bleibt die grundsätzliche Problematik bestehen: Jede Anpassung des Betriebssystems kann neue Angriffsvektoren schaffen.

Das könnte künftig zu schärferer Prüfung solcher Modifikationen führen. Für Verbraucher unterstreicht der Vorfall die Bedeutung zeitnaher Software-Updates, sorgfältiger App-Verwaltung und robuster Sicherheitspraktiken in einer zunehmend komplexen mobilen Bedrohungslandschaft.