Eine schwerwiegende Sicherheitslücke wurde in zahlreichen OnePlus-Smartphones entdeckt, die es installierten Apps ermöglicht, ohne Erlaubnis auf SMS- und MMS-Nachrichten zuzugreifen. Das Cybersicherheitsunternehmen Rapid7 hat die Schwachstelle aufgedeckt. OnePlus hat das Problem bestätigt und ein Software-Update angekündigt, das die Lücke schließen soll.
Wichtige Informationen
- Eine Sicherheitslücke in OxygenOS erlaubt Apps den unbefugten Zugriff auf SMS- und MMS-Daten.
- Betroffen sind Geräte mit OxygenOS 12 und neueren Versionen, beginnend mit dem OnePlus 8T.
- OnePlus hat einen Patch entwickelt und plant die Verteilung ab Mitte Oktober.
- Nutzern wird geraten, bis zum Update Vorsichtsmaßnahmen zu ergreifen, etwa bei der Nutzung von Zwei-Faktor-Authentifizierung per SMS.
Details zur Sicherheitslücke CVE-2025-10184
Das Cybersicherheitsunternehmen Rapid7 veröffentlichte Anfang der Woche einen Bericht über eine kritische Schwachstelle in OxygenOS, dem Betriebssystem von OnePlus. Die Lücke, die unter der Kennung CVE-2025-10184 geführt wird, betrifft mehrere Versionen des Systems, die bis zu OxygenOS 12 zurückreichen. Das erste betroffene Gerät ist Berichten zufolge das OnePlus 8T.
Durch diesen Fehler kann jede auf einem betroffenen Gerät installierte Anwendung auf private SMS- und MMS-Nachrichten sowie die zugehörigen Metadaten zugreifen. Dieser Zugriff erfolgt ohne eine Berechtigungsanfrage, ohne Interaktion des Nutzers und ohne dessen Zustimmung. Besonders besorgniserregend ist, dass es für Nutzer keine Möglichkeit gibt, festzustellen, ob ihre Daten auf diese Weise ausgelesen wurden.
Unbemerkter Datenzugriff
Die Schwachstelle hinterlässt keine Spuren. Nutzer können nicht nachvollziehen, ob eine App ihre Nachrichten gelesen hat. Dies macht die Lücke besonders gefährlich, da sie für verdeckte Datensammlungen missbraucht werden könnte.
Rapid7 gab an, bereits Monate vor der Veröffentlichung versucht zu haben, OnePlus über die Entdeckung zu informieren, jedoch ohne Erfolg. Erst nach der öffentlichen Bekanntmachung am Montag reagierte das Unternehmen am Mittwoch und bestätigte die Existenz des Problems.
OnePlus bestätigt Problem und kündigt Update an
In einer offiziellen Stellungnahme gegenüber Medien bestätigte ein Sprecher von OnePlus die Kenntnisnahme der Schwachstelle. Das Unternehmen hat bereits eine Lösung für das Problem entwickelt.
„Wir bestätigen die kürzliche Offenlegung von CVE-2025-10184 und haben eine Korrektur implementiert. Diese wird ab Mitte Oktober weltweit über ein Software-Update verteilt. OnePlus bleibt dem Schutz von Kundendaten verpflichtet und wird Sicherheitsverbesserungen weiterhin Priorität einräumen.“
Die Zusage für ein Update ist eine gute Nachricht für betroffene Nutzer. Bis zur Verteilung des Patches bleibt jedoch ein Zeitfenster, in dem die Geräte angreifbar sind. Der Rollout soll Mitte Oktober beginnen, ein genaues Datum für spezifische Regionen oder Modelle wurde noch nicht genannt.
Technische Ursache der Schwachstelle
Die Wurzel des Problems liegt in Anpassungen, die OnePlus an der standardmäßigen Telefonie-Anwendung von Android vorgenommen hat. Diese Änderungen wurden offenbar mit der Einführung von OxygenOS 12 vorgenommen, da ältere Versionen wie OxygenOS 11 nicht betroffen sind.
Was sind Content Provider?
In Android sind „Content Provider“ eine Standardkomponente, die den Zugriff auf einen zentralen Datenspeicher verwaltet. Sie ermöglichen es Apps, Daten sicher zu teilen. Im Fall der Telefonie-App verwalten sie den Zugriff auf Anruflisten und Nachrichten.
OnePlus fügte der Telefonie-Anwendung drei zusätzliche „Content Provider“ hinzu. Laut Rapid7 handelt es sich um die folgenden Einträge:
com.android.providers.telephony.PushMessageProvidercom.android.providers.telephony.PushShopProvidercom.android.providers.telephony.ServiceNumberProvider
Das eigentliche Problem entstand durch eine fehlerhafte Konfiguration der Berechtigungen. OnePlus wies diesen neuen Providern zwar Leseberechtigungen für SMS zu, versäumte es jedoch, explizite Schreibberechtigungen zu definieren. Dieser Fehler führte dazu, dass andere Apps Schreiboperationen durchführen konnten, was letztlich den unbefugten Lesezugriff auf die Nachrichten ermöglichte.
Empfehlungen für betroffene OnePlus-Nutzer
Bis das Sicherheitsupdate von OnePlus Mitte Oktober eintrifft, sollten Nutzer besonders vorsichtig sein. Rapid7 und Sicherheitsexperten geben konkrete Empfehlungen, um das Risiko zu minimieren.
Eine der wichtigsten Maßnahmen betrifft die Zwei-Faktor-Authentifizierung (2FA). Viele Dienste nutzen SMS, um einmalige Anmeldecodes zu versenden. Da diese Codes von schädlichen Apps ausgelesen werden könnten, wird dringend empfohlen, auf eine Authenticator-App umzusteigen. Apps wie Google Authenticator, Microsoft Authenticator oder Authy sind sichere Alternativen.
Weitere Schutzmaßnahmen
Zusätzlich sollten Nutzer die folgenden Schritte in Betracht ziehen:
- Apps nur aus vertrauenswürdigen Quellen installieren: Laden Sie Anwendungen ausschließlich aus dem Google Play Store herunter und seien Sie bei unbekannten Entwicklern skeptisch.
- Unnötige Apps entfernen: Deinstallieren Sie alle Anwendungen, die Sie nicht regelmäßig nutzen oder nicht unbedingt benötigen. Jede zusätzliche App stellt ein potenzielles Risiko dar.
- Alternative Messenger nutzen: Statt der standardmäßigen SMS/MMS-App können Sie auf verschlüsselte Messenger wie Signal oder WhatsApp ausweichen, die von dieser Schwachstelle nicht betroffen sind.
Diese Maßnahmen können das Risiko eines unbefugten Datenzugriffs erheblich reduzieren, bis der offizielle Patch von OnePlus verfügbar ist. Nutzer sollten in den Einstellungen ihres Geräts regelmäßig nach Systemupdates suchen, um die Korrektur so schnell wie möglich zu installieren.
