Kritische Schwachstelle in OxygenOS ermöglicht Apps das heimliche Lesen von SMS-Nachrichten – Millionen Nutzer betroffen.

Eine schwerwiegende Sicherheitslücke in OnePlus-Smartphones hebelt die weit verbreitete SMS-basierte Zwei-Faktor-Authentifizierung komplett aus. Jede beliebige App kann ohne Nutzer-Berechtigung SMS-Nachrichten mitlesen und damit Sicherheitscodes abfangen, die eigentlich Konten schützen sollen.

Die als CVE-2025-10184 klassifizierte Schwachstelle betrifft OnePlus-Geräte mit OxygenOS-Versionen 12 bis 15. Entdeckt wurde sie vom Cybersicherheitsunternehmen Rapid7. Das Perfide: Schädliche Apps können alle SMS- und MMS-Nachrichten heimlich auslesen, ohne jemals um die standardmäßige SMS-Berechtigung zu bitten.

So funktioniert der Angriff

Die Lücke nutzt unsicher konfigurierte interne Content Provider im Android-Telefonie-Paket aus. Über SQL-Injection-Techniken können Angreifer diese Schwachstelle ausnutzen. Das Ergebnis: Jede App mit böswilligen Absichten wird zum stillen Mitleser aller Textnachrichten.

Anzeige: Übrigens: Wer sein Android-Smartphone jetzt gezielt härten will, kommt mit wenigen Schritten deutlich weiter – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen gegen Datenklau, Malware und unsichere App-Rechte – ideal für WhatsApp, Online‑Banking & Co. Mit Checklisten und einfachen Schritt‑für‑Schritt‑Anleitungen. Gratis‑Sicherheitspaket für Android sichern

Besonders brisant wird dies bei der Login-Sicherheit. Haben Kriminelle bereits das Passwort eines Nutzers erbeutet – etwa durch Phishing oder frühere Datenlecks –, können sie nun auch den per SMS gesendeten Sicherheitscode abfangen. Die vermeintlich sichere Zwei-Faktor-Authentifizierung wird damit wirkungslos.

Rapid7 berichtet, OnePlus habe monatelang nicht auf Meldungen reagiert. Erst nach der öffentlichen Bekanntgabe bestätigte der Hersteller das Problem und kündigte Untersuchungen an.

Industrieweiter Kurswechsel bei der Authentifizierung

Der Timing könnte kaum passender sein: Microsoft zwingt seine Unternehmenskunden bis zum 30. September 2025 zu einem Wechsel auf die zentrale Microsoft Entra ID-Authentifizierung. Alte MFA-Methoden und Self-Service-Passwort-Resets werden abgeschaltet.

Auch Bildungseinrichtungen wie die West Virginia University streichen ab Oktober veraltete Backup-Methoden. Nutzer müssen auf Hardware-Token oder Backup-Geräte umsteigen. Der Grund: Ältere Methoden genügen den modernen Bedrohungen schlicht nicht mehr.

Das Passwort-Problem wird immer größer

Die Grundlage dieser Sicherheitskrise bleibt die schiere Masse kompromittierter Zugangsdaten. Der sogenannte "Mother of All Breaches" (MOAB) offenbarte über 26 Milliarden gestohlene Datensätze aus Tausenden früherer Lecks.

Aktuelle Vorfälle verschärfen die Lage weiter: Automobilriese Stellantis bestätigte einen Datendiebstahl über einen Drittanbieter, TransUnion verlor Daten von 4,4 Millionen Menschen. Diese kontinuierlichen Lecks füttern den Schwarzmarkt für gestohlene Credentials und machen Credential-Stuffing-Angriffe zur alltäglichen Bedrohung.

Warum die Zukunft passwortlos ist

Das OnePlus-Problem zeigt exemplarisch die Risiken einzelner Schwachstellen – besonders bei SMS als unsicherster MFA-Variante. Sicherheitsexperten warnen seit Jahren vor SMS-Abfang, SIM-Swapping und nun eben Plattform-Schwachstellen.

Die Branche setzt zunehmend auf sicherere Alternativen: Authenticator-Apps mit zeitbasierten Einmalkennwörtern (TOTP) sind bereits deutlich sicherer. Noch besser sind FIDO2-konforme Lösungen wie Hardware-Sicherheitsschlüssel oder Passkeys mit Gerätbiometrie – diese sind resistent gegen Phishing und Man-in-the-Middle-Angriffe.

Sofortmaßnahmen für Betroffene

OnePlus-Nutzer sollten umgehend alle Konten von SMS-MFA auf Authenticator-Apps oder Hardware-Token umstellen. Unnötige Apps gehören deinstalliert, neue sollten kritisch geprüft werden.

Längerfristig müssen sowohl Entwickler als auch Nutzer umdenken. Anbieter müssen stärkere MFA-Optionen implementieren und aktiv bewerben. Für Verbraucher gilt: Die Ära von Passwort plus SMS ist vorbei. Moderne, robuste Mehr-Faktor-Authentifizierung wird zur Überlebensfrage im digitalen Alltag.