Fünf Monate lang weigerte sich OnePlus, die Sicherheitslücke in OxygenOS zu beheben.

Der Cybersecurity-Experte Calum Hatton von Rapid7 entdeckte eine kritische Sicherheitslücke, die es Apps ermöglicht, ohne Zustimmung der Nutzer vollen Zugriff auf SMS-Nachrichten von OnePlus-Smartphones zu erhalten.

Der Fehler ließ sich auf nahezu allen aktuellen Versionen des Betriebssystems ab OxygenOS 12 reproduzieren.

Hatton entdeckte die Sicherheitslücke bereits im Mai und unternahm sofort mehrere Versuche, OnePlus zu kontaktieren – per E-Mail und über den Support – doch das Unternehmen reagierte nicht.

Da keine Rückmeldung erfolgte, entschied Rapid7, einen ausführlichen Bericht über die Schwachstelle zu veröffentlichen, inklusive einer detaillierten Anleitung zur Reproduktion. Daraufhin erkannte OnePlus das Problem umgehend an und versprach, die Lücke mit einem kommenden Update zu schließen.

Dieses Update wird jedoch voraussichtlich erst Mitte Oktober für aktuelle Smartphones verfügbar sein. Bis dahin empfehlen die Experten von Rapid7 OnePlus-Nutzern, keine verdächtigen Apps aus unbekannten Quellen zu installieren.