Sicherheitsforscher von Rapid7 haben eine kritische Schwachstelle in mehreren Versionen des Betriebssystems OxygenOS von OnePlus aufgedeckt. Der Fehler ermöglicht es beliebigen Apps, ohne spezielle Berechtigungen auf private SMS- und MMS-Nachrichten zuzugreifen. Trotz wiederholter Kontaktversuche seit Mai 2025 hat OnePlus laut Rapid7 nicht reagiert, weshalb die Sicherheitslücke weiterhin ungepatcht bleibt.
Die Schwachstelle, die bereits seit Ende 2021 bestehen soll, betrifft potenziell Millionen von Nutzern und stellt ein erhebliches Risiko für die Datensicherheit und den Schutz der Privatsphäre dar. Besonders alarmierend ist, dass für einen Angriff keine Interaktion des Nutzers erforderlich ist und dieser im Hintergrund unbemerkt abläuft.
Wichtige Erkenntnisse
- Eine seit 2021 bestehende Sicherheitslücke in OxygenOS ermöglicht Apps den Zugriff auf SMS- und MMS-Daten.
- Der Fehler erfordert keine speziellen Berechtigungen oder eine Nutzerinteraktion.
- OnePlus hat laut dem Sicherheitsunternehmen Rapid7 auf zahlreiche Warnungen nicht reagiert.
- Die Schwachstelle mit der Kennung CVE-2025-10184 wird mit einem Schweregrad von 8.2 (Hoch) eingestuft.
- Nutzern wird empfohlen, auf alternative Authentifizierungsmethoden umzusteigen und nur Apps aus vertrauenswürdigen Quellen zu installieren.
Details zur Sicherheitslücke CVE-2025-10184
Das Cybersicherheitsunternehmen Rapid7 veröffentlichte am 23. September 2025 einen detaillierten Bericht über die Schwachstelle. Sie wird unter der Kennung CVE-2025-10184 geführt und weist einen CVSS-Score von 8.2 auf, was einem hohen Risiko entspricht. Die Forscher gehen davon aus, dass der Fehler mit der Veröffentlichung von OxygenOS 12 am 7. Dezember 2021 eingeführt wurde. Geräte mit der älteren Version OxygenOS 11 waren in den Tests von Rapid7 nicht betroffen.
Die technische Ursache liegt in einer fehlerhaften Konfiguration einer internen Android-Komponente, einem sogenannten Content Provider. Diese Komponente, speziell com.oneplus.provider.telephony, ist dafür verantwortlich, den Zugriff auf Telefoniedaten wie SMS zu verwalten. Normalerweise ist der Zugriff streng reglementiert und erfordert spezielle Berechtigungen.
Wie der Angriff funktioniert
Durch den Fehler in OxygenOS ist dieser Content Provider jedoch ohne die erforderlichen Berechtigungen zugänglich. Eine bösartige App kann diese Schwäche ausnutzen, um direkt auf die Datenbank zuzugreifen, in der SMS- und MMS-Nachrichten gespeichert sind. Laut Rapid7 ist die Komponente zudem anfällig für SQL-Injection, eine Angriffsmethode, bei der Angreifer die Datenbankabfragen manipulieren können, um Daten auszulesen oder zu verändern.
„Das Problem rührt daher, dass sensible interne Content Provider ohne Berechtigung zugänglich und anfällig für SQL-Injection sind“, erklärten die Forscher von Rapid7 in ihrem Bericht.
Ein entscheidender Faktor ist, dass der Angriff völlig unbemerkt abläuft. Der Nutzer erhält keine Benachrichtigung oder Warnung, wenn eine App auf seine Nachrichten zugreift und diese möglicherweise an einen externen Server sendet. Es ist keine Interaktion wie das Klicken auf einen Link oder die Erteilung einer Erlaubnis notwendig.
Stiller Datendiebstahl
Ein Angriff über diese Schwachstelle hinterlässt keine sichtbaren Spuren auf dem Gerät. Eine schädliche App, die beispielsweise als harmloses Werkzeug oder Spiel getarnt ist, könnte im Hintergrund kontinuierlich alle eingehenden und ausgehenden SMS-Nachrichten auslesen und weiterleiten.
Potenzielle Risiken für betroffene Nutzer
Die Auswirkungen dieser Schwachstelle sind weitreichend und gefährden sowohl die Privatsphäre als auch die Sicherheit digitaler Konten. Da viele Online-Dienste SMS für die Zwei-Faktor-Authentifizierung (2FA) nutzen, ergeben sich hier besondere Gefahren.
Umgehung der Zwei-Faktor-Authentifizierung
Eines der größten Risiken ist die Kompromittierung von Konten, die durch SMS-basierte 2FA geschützt sind. Wenn ein Angreifer bereits das Passwort für ein Online-Konto (z. B. E-Mail, Online-Banking oder Social Media) besitzt, kann er die Schwachstelle nutzen, um den per SMS gesendeten Sicherheitscode abzufangen. Damit wäre die zweite Sicherheitsebene ausgehebelt und der Angreifer könnte die volle Kontrolle über das Konto erlangen.
Dies macht die Schwachstelle besonders wertvoll für Kriminelle, die auf den Diebstahl von Identitäten oder Finanzbetrug abzielen. Der gesamte Prozess läuft für den Nutzer unsichtbar ab.
Ausspähen privater Kommunikation
Neben finanziellen Risiken besteht eine erhebliche Gefahr für die Privatsphäre. Private und geschäftliche Konversationen, die über SMS oder MMS geführt werden, können vollständig ausgelesen werden. Dies könnte für Erpressung, Wirtschaftsspionage oder zur Überwachung durch staatliche Akteure missbraucht werden.
Da der Zugriff unbemerkt erfolgt, könnten Nutzer über Jahre hinweg ausgespäht werden, ohne es zu wissen.
Warum SMS-basierte 2FA als unsicherer gilt
Sicherheitsexperten raten seit Längerem von der alleinigen Nutzung von SMS für die Zwei-Faktor-Authentifizierung ab. Neben Schwachstellen wie der hier beschriebenen sind auch Angriffe wie SIM-Swapping bekannt, bei denen Angreifer die Mobilfunknummer eines Opfers auf eine eigene SIM-Karte übertragen. Sicherere Alternativen sind Authenticator-Apps (z. B. Google Authenticator, Authy) oder physische Sicherheitsschlüssel (FIDO2/U2F).
Kommunikationsversuche mit OnePlus blieben erfolglos
Rapid7 dokumentierte in seinem Bericht eine detaillierte Chronologie der Kommunikationsversuche mit OnePlus. Der Prozess verdeutlicht die Schwierigkeiten, mit denen Sicherheitsforscher bei der verantwortungsvollen Offenlegung (Responsible Disclosure) von Schwachstellen konfrontiert sein können.
- 1. Mai 2025: Rapid7 sendet die erste Meldung an das OnePlus Security Response Center (OneSRC).
- Mai - Juni 2025: Nach mehreren erfolglosen Versuchen über das offizielle Portal kontaktieren die Forscher den allgemeinen Kundensupport von OnePlus. Dieser verspricht eine Weiterleitung, eine Rückmeldung bleibt jedoch aus.
- 22. Juli 2025: Als weiterer Versuch wird eine Nachricht an den offiziellen X-Account (ehemals Twitter) von OnePlus gesendet, ebenfalls ohne Erfolg.
- Juli - August 2025: Rapid7 versucht sogar, über das ebenfalls zum BBK-Electronics-Konzern gehörende Unternehmen Oppo Kontakt herzustellen, was jedoch auch fehlschlägt.
Aufgrund der ausbleibenden Reaktion hat Rapid7 OnePlus als „nicht reaktionsfähigen Anbieter“ eingestuft. Diese Einstufung und die anschließende öffentliche Bekanntmachung der Details sind oft der letzte Schritt, um einen Hersteller zum Handeln zu bewegen und die Öffentlichkeit zu warnen.
„Diese Schwachstelle betrifft eine breite Palette von OxygenOS-Versionen und mehreren OnePlus-Geräten, und wir schätzen die potenziellen Auswirkungen als hoch ein“, so Rapid7.
Die Veröffentlichung technischer Details zu einer ungepatchten Schwachstelle ist in der Branche unüblich, wird aber manchmal als letztes Mittel eingesetzt, um Druck auf den Hersteller auszuüben.
Empfehlungen für OnePlus-Nutzer
Da von OnePlus bisher kein Sicherheitsupdate zur Verfügung gestellt wurde, müssen Nutzer selbst Maßnahmen ergreifen, um sich zu schützen. Rapid7 gibt hierzu klare Empfehlungen.
Sicherheitsmaßnahmen für den Alltag
- Apps nur aus vertrauenswürdigen Quellen installieren: Laden Sie Anwendungen ausschließlich aus dem offiziellen Google Play Store herunter und prüfen Sie die Berechtigungen und Bewertungen einer App vor der Installation.
- Unnötige Apps entfernen: Deinstallieren Sie alle Anwendungen, die Sie nicht regelmäßig nutzen, um die potenzielle Angriffsfläche zu reduzieren.
- Auf Authenticator-Apps umsteigen: Ändern Sie die Zwei-Faktor-Authentifizierung für wichtige Online-Konten von SMS auf eine Authenticator-App. Diese generiert Codes direkt auf Ihrem Gerät und ist nicht von der SMS-Sicherheit abhängig.
- Verschlüsselte Messenger nutzen: Verwenden Sie für private und sensible Kommunikation Ende-zu-Ende-verschlüsselte Messenger wie Signal oder WhatsApp anstelle von SMS.
Obwohl Rapid7 die Schwachstelle nur auf OnePlus-Geräten getestet hat, äußerten die Forscher die Vermutung, dass auch andere Hersteller betroffen sein könnten, da die anfällige Komponente Teil des Android-Systems ist. Bisher gibt es dafür jedoch keine Bestätigung. Digirion hat OnePlus um eine Stellungnahme gebeten und wird diesen Artikel aktualisieren, sobald weitere Informationen vorliegen.
