OnePlus wirbt seit Jahren mit dem Slogan „Never Settle“ – doch für viele Nutzer klingt das inzwischen wie Hohn. Sicherheitsforscher von Rapid7 haben eine gravierende Schwachstelle in OxygenOS entdeckt, die Geräte mit Version 12, 14 und 15 betrifft. Konkret können schädliche Apps auf SMS- und MMS-Daten zugreifen, ohne dass Nutzer eine Berechtigung erteilen oder überhaupt eine Benachrichtigung erhalten. 
Betroffen sind unter anderem das OnePlus 8T und das OnePlus 10 Pro 5G, aber auch andere Modelle könnten gefährdet sein.
Die Lücke trägt die Kennung CVE-2025-10184 und wurde bereits im Mai 2025 gemeldet. Rapid7 wandte sich umgehend an OnePlus, doch über Monate reagierte das Unternehmen nur zögerlich. Erst nach einer öffentlichen Offenlegung Ende September bestätigte OnePlus das Problem. Tests zeigten, dass OxygenOS 11 nicht betroffen war – die Sicherheitslücke wurde also mit OxygenOS 12 eingeführt und bis heute nicht vollständig behoben.
Das Risiko ist hoch: SMS enthalten häufig sensible Daten wie TAN-Codes, Passwörter oder Verifizierungslinks. Da Nutzer nicht bemerken, wenn ihre Nachrichten abgegriffen werden, könnte ein Angreifer unbemerkt Zwei-Faktor-Authentifizierungen (2FA) aushebeln. Damit stünden Bankkonten, E-Mail-Dienste oder soziale Netzwerke offen wie ein Scheunentor.
Die Reaktionen in der Community reichen von Frust bis Spott. Viele erinnern sich an die „Green Line“-Probleme bei Displays früherer Modelle. Jetzt kommt noch eine gravierende Sicherheitslücke hinzu. Ein Nutzer brachte es süffisant auf den Punkt: „Never settle? Eher never secure.“ Andere witzelten, dass OnePlus wohl so spät reagiere, weil sie nicht geglaubt hätten, dass diese Geräte überhaupt noch jemand nutzt.
Rapid7 betont, dass es sich nicht um einen Hardwarefehler handelt, sondern um eine Schwachstelle tief im Android-basierten OxygenOS. Deshalb stellt sich die Frage, ob auch andere BBK-Marken wie Oppo mit ColorOS betroffen sein könnten. Diese Unsicherheit verunsichert zusätzlich, denn die Systeme teilen sich viele Code-Bausteine.
Am 24. September bestätigte OnePlus schließlich offiziell, dass eine Lösung in Arbeit sei. Laut Unternehmenssprecher soll der Patch Mitte Oktober weltweit verteilt werden. Bis dahin sind Nutzer jedoch schutzlos. Offiziell beteuert OnePlus, Datenschutz sei weiterhin oberste Priorität – doch viele Fans sehen das schleppende Vorgehen kritisch.
Bis zum Update rät Rapid7, vorsichtig zu sein. Nutzer sollten Apps nur aus vertrauenswürdigen Quellen installieren und überflüssige Programme entfernen. Außerdem empfiehlt es sich, SMS-basierte 2FA durch Authenticator-Apps wie Google Authenticator oder Authy zu ersetzen. Für private Kommunikation sind Messenger mit Ende-zu-Ende-Verschlüsselung wie Signal oder WhatsApp sicherer. Wo möglich, sollten SMS-Benachrichtigungen durch Push-Mitteilungen ersetzt werden.
Der Vorfall zeigt ein grundsätzliches Problem: SMS als Sicherheitsfaktor sind 2025 schlicht nicht mehr zeitgemäß. Die Branche setzt zunehmend auf sicherere Alternativen, doch Millionen Menschen hängen immer noch am klassischen SMS-Code. Solange dieser Umstieg nicht vollzogen ist, bleiben Schwachstellen wie CVE-2025-10184 ein Risiko. Für OnePlus-Nutzer heißt das: Durchhalten bis Oktober – und vielleicht überlegen, ob der alte Leitspruch „Never Settle“ noch glaubwürdig ist.
1 kommentar
OnePlus hat mit never settle geworben, aber jetzt ist es eher never secure 😂