Update kommt im Oktober
Sicherheitslücke bei OnePlus: Apps können auf SMS-Daten zugreifen
Bei OnePlus-Smartphones wurde eine gravierende Sicherheitslücke entdeckt: Bestimmte Apps sollen unbemerkt auf SMS- und MMS-Daten zugreifen können. Eine Software-Aktualisierung zur Behebung des Problems ist laut Hersteller ab Mitte Oktober geplant.
Laut dem Sicherheitsunternehmen Rapid7 soll eine kritische Schwachstelle in mehreren Versionen von OxygenOS existieren. Betroffen seien Geräte ab OxygenOS 12, etwa das OnePlus 8T. Durch Veränderungen an der standardmäßigen Android-Telefonie-App soll es möglich sein, dass beliebige Anwendungen o...
Laut dem Sicherheitsunternehmen Rapid7 soll eine kritische Schwachstelle in mehreren Versionen von OxygenOS existieren. Betroffen seien Geräte ab OxygenOS 12, etwa das OnePlus 8T. Durch Veränderungen an der standardmäßigen Android-Telefonie-App soll es möglich sein, dass beliebige Anwendungen ohne Zustimmung auf SMS- und MMS-Inhalte sowie zugehörige Metadaten zugreifen können.
Keine Nutzerinteraktion erforderlich
Laut Rapid7 hat der Fehler dazu geführt, dass Anwendungen auf betroffenen Geräten ohne Berechtigung und ohne Zutun der Nutzer auf sensible Nachrichteninhalte zugreifen können. Eine Möglichkeit für Betroffene, zu erkennen, ob der Zugriff stattgefunden hat, gebe es nicht.
Verzögerte Reaktion des Herstellers
Die Schwachstelle mit der Kennung CVE-2025-10184 sei laut Rapid7 bereits Monate vor Veröffentlichung an OnePlus gemeldet worden. Eine Reaktion des Herstellers ist jedoch erst zwei Tage nach Veröffentlichung der Sicherheitsanalyse erfolgt. Erst dann habe OnePlus die Existenz der Lücke offiziell bestätigt.
Patch soll ab Mitte Oktober kommen
Ein Unternehmenssprecher erklärte gegenüber dem Technikportal 9to5Google, dass ein Fix bereits implementiert worden sei. Dieser wird ab Mitte Oktober weltweit per Software-Update bereitgestellt. OnePlus betont, weiterhin Wert auf den Schutz der Kundendaten zu legen.
Ursache liegt in modifizierter Telefonie-App
Der Ursprung des Problems soll in einer modifizierten Version der Android-Telefonie-App liegen. OnePlus habe in OxygenOS 12 zusätzliche Datenanbieter eingeführt, darunter „PushMessageProvider“ und „ServiceNumberProvider“. Dabei seien zwar Leserechte für Nachrichten vergeben, aber unzureichende Schreibrechte konfiguriert worden. Dadurch hätten Anwendungen Schreibzugriffe erhalten können, sofern diese von den Providern technisch unterstützt wurden.
Was betroffene Nutzer jetzt tun können
Bis zum Ausrollen des Updates empfiehlt Rapid7, ausschließlich Apps aus vertrauenswürdigen Quellen zu installieren und nicht benötigte Anwendungen zu entfernen. Außerdem sei es sinnvoll, von SMS-basierten Zwei-Faktor-Authentifizierungen auf Authenticator-Apps umzusteigen. Auch der Wechsel zu alternativen Messaging-Apps könne die Risiken minimieren.
