Schwere Sicherheitslücke in OnePlus Handys: SMS / MMS Daten ohne Berechtigung auslesbar
Das Cybersecurity Unternehmen Rapid7 hat eine kritische Schwachstelle in der OxygenOS-Software von OnePlus aufgedeckt, die es beliebigen Anwendungen ermöglicht, SMS- und MMS-Nachrichten auszulesen, ohne dass dafür Zugriffsrechte erteilt werden müssen. Auch eine Abfrage der Zugriffsberechtigung findet nicht statt. Die unter der Kennung CVE-2025-10184 geführte Lücke betrifft zahlreiche OnePlus-Geräte und wird erst Mitte Oktober geschlossen.
Umfang und technischer Hintergrund
Die Schwachstelle wurde in den OxygenOS Versionen 12, 14 und 15 nachgewiesen, während die ältere Version 11 nicht betroffen ist. Rapid7 testete die Lücke erfolgreich auf dem OnePlus 8T und dem OnePlus 10 Pro 5G mit verschiedenen Systemversionen. Da die Schwachstelle eine zentrale Android-Komponente betrifft, gehen die Sicherheitsforscher davon aus, dass auch andere OnePlus Modelle mit den genannten OxygenOS Versionen anfällig sind.
Der Kern des Problems liegt in Modifikationen, die OnePlus am Telephony Provider von Android vorgenommen hat. Dieser Systemdienst verwaltet normalerweise SMS- und MMS-Daten und schützt sie durch entsprechende Zugriffsberechtigungen. In der OxygenOS Implementierung hat OnePlus jedoch drei zusätzliche Content Provider eingeführt: PushMessageProvider, PushShopProvider und ServiceNumberProvider. Diese internen Schnittstellen sind zwar mit Leseberechtigungen versehen, weisen aber für Schreiboperationen keine Zugriffsbeschränkungen auf.
Besonders problematisch ist die fehlende Eingabevalidierung in der Update-Methode des ServiceNumberProvider. Dort werden SQL-Parameter ohne Prüfung direkt an die Datenbank weitergegeben, was sogenannte Blind SQL Injection Angriffe ermöglicht. Bei dieser Angriffstechnik werden Datenbankabfragen so manipuliert, dass sie schrittweise Informationen aus anderen Tabellen extrahieren können, ohne direkten Lesezugriff zu benötigen.
Auswirkungen in der Praxis
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine scheinbar harmlose Anwendung entwickelt, die keinerlei SMS Berechtigungen anfordert. Über die manipulierten Datenbankabfragen lässt sich dann der gesamte SMS-Verlauf eines Nutzers auslesen. Besonders brisant ist dies für Einmalpasswörter, die bei der Zwei-Faktor-Authentifizierung per SMS verschickt werden. Ein Angreifer könnte solche Codes abfangen und damit Konten bei Banken, E-Mail-Diensten oder sozialen Netzwerken kompromittieren.
Die Ausnutzung erfolgt vollständig im Hintergrund. Nutzer erhalten keine Benachrichtigung über den Datenzugriff, und in den Systemeinstellungen erscheint die Anwendung nicht als berechtigt für SMS-Zugriff. Die von Rapid7 entwickelte Proof-of-Concept-Anwendung demonstriert, dass sich mit dieser Methode beliebige SQL-Abfragen auf die SMS-Datenbank ausführen lassen.
Rapid7 beklagt Kommunikationsprobleme mit OnePlus
Die Offenlegung der Schwachstelle gestaltete sich schwierig. Rapid7 kontaktierte OnePlus erstmals am 1. Mai 2025, erhielt jedoch keine Reaktion. Weitere Kontaktversuche über verschiedene Kanäle verliefen ebenfalls erfolglos. Das Bug-Bounty-Programm von OnePlus konnte Rapid7 nach eigenen Angaben nicht nutzen, da die dortigen Vertraulichkeitsvereinbarungen zu restriktiv waren.
Nach mehreren erfolglosen Kommunikationsversuchen über einen Zeitraum von mehr als vier Monaten entschied sich Rapid7 am 23. September 2025 für eine öffentliche Bekanntgabe. Erst am folgenden Tag reagierte OnePlus und bestätigte, dass man die Schwachstelle untersuche. In einer Stellungnahme erklärte das Unternehmen, ein Update sei bereits implementiert und werde ab Mitte Oktober weltweit ausgerollt.
Bis zur Bereitstellung des Sicherheitsupdates bleiben betroffene Geräte anfällig. Rapid7 empfiehlt Nutzern mehrere Schutzmaßnahmen: Anwendungen sollten ausschließlich aus vertrauenswürdigen Quellen installiert und nicht benötigte Apps deinstalliert werden. Dies verringert die Angriffsfläche durch potenziell schädliche Software. Für Dienste, die SMS-basierte Zwei-Faktor-Authentifizierung nutzen, sollte auf Authenticator-Apps umgestellt werden. Diese generieren Einmalpasswörter lokal auf dem Gerät und sind nicht von der Schwachstelle betroffen. Vertrauliche Kommunikation sollte über Ende-zu-Ende-verschlüsselte Messenger wie Signal oder WhatsApp erfolgen, da deren Inhalte nicht über den SMS-Provider laufen. Auch bei Benachrichtigungen von Diensten können Nutzer aktiv werden. Viele Anwendungen bieten Push-Benachrichtigungen als Alternative zu SMS an. Diese sollten wo möglich bevorzugt werden, da sie ebenfalls nicht von der Schwachstelle betroffen sind.
Einordnung und Ausblick
Die Schwachstelle verdeutlicht die Risiken, die durch herstellerspezifische Modifikationen an Android entstehen können. OnePlus hat offenbar bei der Implementierung zusätzlicher Funktionen grundlegende Sicherheitsprinzipien verletzt. Die fehlende Eingabevalidierung und die unzureichenden Zugriffskontrollen hätten durch sorgfältige Code-Reviews erkannt werden müssen. Problematisch ist auch die verzögerte Reaktion des Herstellers. Die monatelange Funkstille auf Kontaktversuche und die späte Bestätigung der Schwachstelle werfen Fragen zur Professionalität des Sicherheitsprozesses bei OnePlus auf. Ein funktionierender Koordinierungsprozess für Sicherheitslücken ist für Smartphone-Hersteller unverzichtbar.
Nutzer betroffener Geräte sollten das angekündigte Update umgehend installieren, sobald es verfügbar ist. Bis dahin bleibt die Vorsicht bei der Installation neuer Anwendungen die wichtigste Schutzmaßnahme. Die Schwachstelle unterstreicht zudem die generelle Empfehlung, SMS als Authentifizierungsmethode durch sicherere Alternativen zu ersetzen. Unklar bleibt aktuell, wie es um betroffene Smartphones-Modelle von OnePlus steht, welche sich mittlerweile außerhalb des Support Zeitraums befinden. Ob auch diese noch ein Update mit einem Fix erhalten, bleibt abzuwarten.
Quellen
Rapid7
Kommentare