Security-Forscher von Rapid7 haben eine kritische Schwachstelle in mehreren Versionen von OxygenOS auf OnePlus-Geräten offengelegt. Die Lücke mit der Kennung CVE-2025-10184 ermöglicht es beliebigen installierten Apps, SMS-Inhalte und Metadaten auszulesen, ohne dass der Nutzer Berechtigungen erteilt. Laut Rapid7 ist der Fehler zum Veröffentlichungszeitpunkt noch ungepatcht; nach ausbleibender Reaktion seit Mai 2025 wurden technische Details sowie ein eingeschränkter Proof-of-Concept veröffentlicht.
Technische Ursache: Unsicher exportierte Android-Telephony-Provider in OxygenOS
Auslöser ist eine OnePlus-spezifische Modifikation des Android-Telephony-Pakets. OxygenOS führt zusätzliche, nach außen exportierte Content-Provider ein, darunter PushMessageProvider, PushShopProvider und ServiceNumberProvider. Deren Manifest-Konfiguration setzt keine wirksamen Zugriffsprüfungen durch: Lese-, Schreib- und Update-Operationen werden nicht angemessen an SMS-Berechtigungen (z. B. READ_SMS) gekoppelt. Ergebnis: Jede App kann mit diesen Providern interagieren, selbst ohne SMS-bezogene Runtime-Permissions.
Verschärfend kommt hinzu, dass Eingabeparameter in diesen Providern nicht bereinigt werden. Das eröffnet Angriffsflächen für Blind-SQL-Injektionen: Angreifer können über Rückgabewerte von Operationen (etwa update) sukzessive den Inhalt der lokalen SMS-Datenbank erraten und rekonstruieren. Rapid7 beschreibt den Ansatz und belegt die Ausnutzbarkeit mit einem limitierten PoC, ohne vollständige Exploit-Kette zu veröffentlichen.
Betroffene Versionen und bestätigte Geräte
Nach Angaben von Rapid7 sind OxygenOS 12 bis 15 betroffen, einschließlich Builds auf Basis von Android 15. Die Ausnutzbarkeit wurde auf OnePlus 8T und OnePlus 10 Pro reproduziert. Da es sich um einen Fehler in einem System-Component (Telephony-Paket) handelt, ist die Schwachstelle nicht hardwaregebunden; andere OnePlus-Modelle mit denselben OS-Versionen sind voraussichtlich ebenfalls verwundbar.
Risikoanalyse: Von OTP-Diebstahl bis Kontoübernahme
Silent-Zugriff auf SMS hebelt zentrale Schutzmechanismen aus. Realistische Szenarien reichen von der Abgreifung von Einmalcodes (OTP/2FA) und TANs bis zur Einsicht sensibler Mitteilungen von Banken und Online-Diensten. Da die Installation einer App genügt, sind nicht nur klassische Malware, sondern auch legitime Apps mit riskanten SDKs oder Werbebibliotheken relevant. Die Verletzung der Berechtigungslogik unterläuft damit die sonst strenge Android-Permission-Architektur.
Warum die Verletzung der Android-Berechtigungslogik gravierend ist
In Android müssen exportierte Content-Provider Berechtigungen prüfen und Eingaben validieren. Geschieht dies nicht, können Zugriffe die Nutzerentscheidung umgehen. Besonders kritisch ist hier die Blind-SQL-Injektion: Selbst ohne direkte SELECT-Abfragen lassen sich Daten über Seitenkanäle rekonstruieren, beispielsweise durch unterschiedliche Rückgabecodes. So wird die eigentliche SMS-Schutzschicht faktisch ausgehebelt – ein Muster, das in der Praxis häufig zu Kontoübernahmen und Betrugsfällen führt, sobald OTPs abgegriffen werden.
Sofortmaßnahmen für Nutzer und Unternehmen
Angriffsfläche reduzieren: Deinstallieren Sie selten genutzte Apps, vermeiden Sie Sideloading und nutzen Sie ausschließlich vertrauenswürdige Quellen. Dies senkt das Risiko fragwürdiger SDKs erheblich.
Kein SMS als zweiter Faktor: Wechseln Sie vorübergehend auf TOTP-Apps (z. B. Authenticator) oder Hardware-Keys (FIDO2), wo verfügbar. Diese Faktoren sind gegen SMS-Abgriff resistent.
Sensible Kommunikation verschieben: Nutzen Sie bis zum Patch Ende-zu-Ende-verschlüsselte Messenger für vertrauliche Inhalte statt SMS.
Für Unternehmen: Setzen Sie MDM/EMM-Policies, App-Whitelisting, strenge Installationsquellen und Ereignis-Monitoring ein. So lassen sich Risiken durch Drittanbieter-SDKs und Supply-Chain-Vektoren effektiv reduzieren.
Reaktion von OnePlus und Ausblick
Nach Veröffentlichung des Rapid7-Berichts hat OnePlus die Schwachstelle anerkannt und angekündigt, den Vorfall zu untersuchen. Nutzer sollten zeitnah verfügbare Sicherheitsupdates installieren und bis dahin erhöhte Vorsicht bei App-Installationen und Berechtigungen walten lassen. Sicherheits-Hinweise des Herstellers und Changelogs der OxygenOS-Updates sollten regelmäßig geprüft werden.
Die CVE-2025-10184 zeigt, wie kleine Abweichungen von Plattformstandards die Android-Sicherheitsarchitektur aushebeln können. Halten Sie den App-Bestand schlank, vermeiden Sie SMS-basierte 2FA und spielen Sie Patches sofort ein. Diese pragmatischen Schritte minimieren das Risiko, dass SMS-Inhalte und Konten kompromittiert werden, bis ein offizieller Fix verfügbar ist.