OnePlus-Smartphones: Kritische SMS-Sicherheitslücke entdeckt – Update angekündigt
Hallo Du, um keine News zu verpassen abonniere doch einfach kostenlos meine Kanäle, vielen Dank:
Kurz vor dem Start des OnePlus 15 gerät der Hersteller wegen eines gravierenden Sicherheitsproblems in die Schlagzeilen. Eine Sicherheitsfirma hat eine Schwachstelle in OxygenOS entdeckt, die Angreifern Zugriff auf vertrauliche SMS-Daten erlaubt. Zwar gibt es noch kein ausgerolltes Update, doch OnePlus hat einen Patch ab Mitte Oktober angekündigt.
Die Analyse stammt von der Cybersecurity-Firma Rapid7. Die Experten stellten fest, dass eine Änderung an der Telefonie-App in OxygenOS ab Version 12 zu einer Lücke geführt hat. Betroffen sind mehrere Geräte, darunter das OnePlus 8T und das OnePlus 10 Pro. Durch diese Modifikation konnten installierte Anwendungen ohne Zustimmung auf SMS und MMS zugreifen und sogar Metadaten auslesen. Ein Hinweis für Betroffene, ob Daten bereits abgegriffen wurden, existiert nicht.
Rapid7 meldete den Fehler bereits Monate vor der Veröffentlichung an OnePlus, erhielt jedoch keine Antwort. Erst nachdem die Sicherheitsforscher ihre Ergebnisse öffentlich machten, reagierte der Hersteller und bestätigte die Schwachstelle, die inzwischen die Kennung CVE-2025-10184 trägt. In einem Statement erklärte OnePlus, dass eine Korrektur entwickelt wurde und weltweit über ein Software-Update verteilt wird.
Hintergrund des Problems ist eine Anpassung der Android-Telefonie-Software. OnePlus führte zusätzliche Content-Provider ein, darunter PushMessageProvider, PushShopProvider und ServiceNumberProvider. Dabei wurde jedoch ein Berechtigungskonzept nicht korrekt umgesetzt. Laut Rapid7 können dadurch Apps Vorgänge ausführen, die eigentlich blockiert sein müssten – etwa das Auslesen von SMS ohne die normalerweise notwendige Zustimmung des Nutzers.
Bis das Update verteilt ist, sollten Anwender vorsichtig sein. Experten raten, nur Apps aus vertrauenswürdigen Quellen zu installieren und unnötige Programme zu entfernen. Wer Zwei-Faktor-Codes bisher per SMS erhält, sollte kurzfristig auf Authenticator-Apps wechseln. Auch alternative Messenger können helfen, den SMS-Dienst zu umgehen, bis die Sicherheitslücke geschlossen ist.
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
