Sicherheitslücke in OnePlus OxygenOS gefährdet Daten

Nutzer von OnePlus-Smartphones, die mit OxygenOS 12, 14 oder 15 betrieben werden, sollten über eine kürzlich entdeckte Sicherheitsanfälligkeit informiert sein. Die Cybersecurity-Firma Rapid7 hat bekannt gegeben, dass diese Versionen von OxygenOS eine schwerwiegende Sicherheitslücke aufweisen, die es bösartigen Apps ermöglichen könnte, ohne Erlaubnis, Benutzerinteraktion oder Zustimmung auf SMS- und MMS-Daten des Smartphones zuzugreifen.

Laut Rapid7 wird der Nutzer nicht darüber informiert, dass auf SMS-Daten zugegriffen wird, was zu einer Offenlegung sensibler Informationen führen und die Sicherheit von SMS-basierten Multi-Faktor-Authentifizierungsprüfungen (MFA) gefährden könnte.

Rapid7 hat die Schwachstelle auf verschiedenen OnePlus-Smartphones und OxygenOS-Versionen getestet und bestätigt. Die betroffenen Modelle sind in der folgenden Tabelle aufgeführt:

– OnePlus 8T / KB2003: OxygenOS Version 12, Build Nummer KB2003_11_C.33
– OnePlus 10 Pro 5G / NE2213: OxygenOS Version 14, Build Nummer NE2213_14.0.0.700(EX01)
– OnePlus 10 Pro 5G / NE2213: OxygenOS Version 15, Build Nummer NE2213_15.0.0.502(EX01)
– OnePlus 10 Pro 5G / NE2213: OxygenOS Version 15, Build Nummer NE2213_15.0.0.700(EX01)
– OnePlus 10 Pro 5G / NE2213: OxygenOS Version 15, Build Nummer NE2213_15.0.0.901(EX01)

Die Sicherheitsanfälligkeit, die als CVE-2025-10184 verfolgt wird, wurde mit der Einführung von OxygenOS 12 eingeführt, da die getesteten Versionen von OxygenOS 11 nicht anfällig für dieses Problem waren. Rapid7 stellte fest, dass diese Sicherheitslücke kein hardware-spezifisches Problem zu sein scheint, jedoch als hochriskant eingestuft wird, da sie einen Kernbestandteil von Android betrifft. Auch andere OnePlus-Geräte, die nicht das Modell 8T oder 10 Pro 5G sind und mit OxygenOS 12, 14 oder 15 betrieben werden, könnten betroffen sein.

Rapid7 kontaktierte OnePlus erstmals am 1. Mai 2025, um das Problem zu besprechen, und wandte sich seitdem mehrmals an OnePlus und Oppo, bevor die Ergebnisse am 23. September 2025 öffentlich gemacht wurden. Einen Tag später reagierte OnePlus auf Rapid7 und bestätigte die Offenlegung, wobei das Unternehmen mitteilte, dass es das Problem untersucht.

In einer späteren Erklärung erklärte ein Sprecher von OnePlus: „Wir erkennen die kürzliche Offenlegung von CVE-2025-10184 an und haben einen Fix implementiert. Dieser wird ab Mitte Oktober global über ein Software-Update ausgerollt. OnePlus bleibt verpflichtet, die Daten der Kunden zu schützen und wird weiterhin Sicherheitsverbesserungen priorisieren.“

Bis das Update Mitte Oktober verfügbar ist, empfiehlt Rapid7 den Nutzern der betroffenen OnePlus-Geräte folgende Schritte:

– Installieren Sie nur Apps aus vertrauenswürdigen Quellen und entfernen Sie alle nicht notwendigen Apps, um die Exposition gegenüber untrusted Apps zu begrenzen, die diese Berechtigungsumgehung nutzen könnten, um SMS/MMS-Daten zu lesen.
– Überprüfen Sie, welche Drittanbieterdienste SMS-basierte Multi-Faktor-Authentifizierung (MFA) verwenden, und wechseln Sie zu einem Authentifizierungs-App, um die Übertragung sensibler Informationen über SMS zu vermeiden.
– Nutzen Sie Ende-zu-Ende-verschlüsselte Messenger-Apps anstelle von SMS-basierten Kommunikationsmethoden, um die Privatsphäre von Textnachrichten zu erhöhen.
– Für Drittanbieterdienste, die SMS-basierte Benachrichtigungen senden, könnte es möglich sein, auf In-App-Push-Benachrichtigungen umzusteigen, um die Übertragung sensibler Informationen über SMS zu minimieren.

Für weitere Details kann die vollständige Offenlegung von Rapid7 eingesehen werden.

Quelle: GSM Arena