OnePlus: Haarsträubende Behandlung einer schweren Sicherheitslücke

[farrol]

Siehe auch:
OxygenOS 12+ devices affected by major SMS vulnerability

Das betrifft alle OnePlus Smartphones mit OxygenOS 12 oder höher. SMS können auch ohne ausreichende Berechtigung von Third Party Apps ausgelesen werden. Diese Lücke existiert schon seit 2021 (Release von OxygenOS 12).

Diese schwere Sicherheitslücke wurde am 1. Mai 2025 von der Firma Rapid7 an OnePlus kommuniziert, bisher ist kein Fix veröffentlicht.

Außerdem hat OnePlus mehr als 5 Monate nicht mit Rapid7 kommuniziert, sondern erst nachdem die Lücke veröffentlicht wurde.

OnePlus knew about this major vulnerability for at least 5 months, but did not communicate with the security researchers until it became a PR problem.

Ich finde es absolut haarsträubend, wie OnePlus mit so einer schweren Sicherheitslücke umgeht.

Und mein OnePlus 12 ist immer noch auf :
CPH2581_15.0.0.832(EX01V110P04)
Android-Sicherheitsupdate 1. Juni 2025

Na dann wird es hoffentlich schon 2026 einen Fix für die SMS Lücke erhalten

 

[daywalker1911]

@farrol jepp hab ich vorhin auch gelesen. Schin erschreckend das da nix gemacht wird

Wieso bist du noch auf so nen alten Stand?

 

[farrol]

Wieso bist du noch auf so nen alten Stand?

Mir wurde noch kein Update angeboten, online Check zeigt auch nichts.

Ich weiß, dass es mit Oxygen Updater geht, aber das ist ja nicht der offizielle Weg. Traurig dass es OnePlus nicht auf die Reihe bekommt, die Updates zeitnah auszurollen.

 

[daywalker1911]

@farrol naja dann mach halt übern oxygen Updater. Da wird auch nichts mehr kommen über den normalen Updater.

 

[silver77]

Servus @farrol ,

ich habe das gleiche Problem.

Hätte nicht gedacht das es bei einem "offiziellen" Gerät das direkt bei Amazon gekauft wurde so ein eklatante Unterschiede bei den Updates gibt.

Laut offiziellem Support wäre das normal und die Updates kämen in Wellen.

 

[marcodj]

Da gibt es schon extra eine Super App für Oneplus die es bei anderen Herstellern so nicht gibt mit der Oxygen Updater App aber man nutzt sie einfach nicht. Warum ist mir echt schleierhaft.

 

[farrol]

Diese "Super App" ist nicht original von OnePlus und voller Werbemüll.

Man wird ja wohl noch erwarten können, dass der Hersteller seine Produkte zeitnah mit Updates versorgt.

Bei anderen guten Herstellern braucht man so eine Krücke auch nicht, da kommen die Updates over-the-air automatisch.

 

[mf99]

..., aber das ist ja nicht der offizielle Weg.

Das mag auf den "Weg" ja zutreffen, aber Du installierst das "offizielle" Update direkt vom 1+-Server. Ich habe seit meinem 6T bestimmt 99% aller Updates auf diesem Weg installiert. So hatte ich es immer sofort am Tag des Erscheinens. Es gab Zeiten, da haben manche Leute Monate lang gewartet. Ich nie.
Nutzer anderer Hersteller werden uns sicher beneiden um diese Möglichkeit. Außerdem kannst Du wählen zwischen "Inkrementeller" und "Vollständiger" Aktualisierung. OTA bekommst Du (nur) ersteres.

Beiträge automatisch zusammengeführt: Heute um 19:42

... voller Werbemüll.

Das muß an Dir liegen, ich habe keine Werbung.

 

[esc]

Wenn du sichere Software und möglichst schnelle Behebungen möchtest, muss du von chinesischen Herstellern weg und die üblichen Verdächtigen nehmen.

 

[farrol]

Das muß an Dir liegen, ich habe keine Werbung.

Siehe Screenshots, aus dem Playstore installiert
Oxygen Updater - Apps on Google Play

 

[daywalker1911]

@farrol das installiere doch die App..Lad das Update runter.. schmeiß die App wieder runter. Einfache Lösung.
Aber ich glaub du willst einfach nicht weil darum..dann bleib auf dem Stand vom Juni und gut is.

 

[mf99]

@farrol Wenn Du so geizig bist, die lächerlichen 2 Euro zu bezahlen, weil für Dich alle umsonst arbeiten müssen, dann kann ich Dir auch nicht helfen.

 

[der.unioner]

Geh doch mal in die Einstellungen, dann auf Verbindungen und Teile, Privates DNS und mach es wie auf meinem Screenshot. Dann ist die Werbung auf dein Handy weg.

 

[farrol]

Die App ist eine Krücke, die nur deswegen so populär ist, weil OnePlus es nicht gebacken bekommt, die Updates vernünftig auszuliefern.

Genau das stört mich.

Außerdem ist das Off Topic, eigentlich geht es hier im Thread um die selbst verbockte SMS Sicherheitslücke, die seit 2021 in OxygenOS ist und um die sich OnePlus nicht gekümmert hat, obwohl sie schon im Mai gemeldet wurde.

 

[marcodj]

Genau das stört mich.

Dann lass es wie es ist und Ärger dich noch Monate weiter. Die anderen User benutzen die App und das Problem ist gelöst.

Es kann so einfach sein wenn man nur will.

Beiträge automatisch zusammengeführt: Heute um 20:59

Die App ist eine Krücke

So ein Schwachsinn. Die macht genau das was sie machen soll... Ein neues Update finden und installieren. Danach kann man die auch wieder deinstallieren wenn man deswegen warum auch immer irgendwelche Ängste entwickelt.

 

[KnudBoerge]

So ein Schwachsinn. Die macht genau das was sie machen soll.

Das Wort "Krücke" wird in der Softwareentwicklung umgangssprachlich für eine Umgehungslösung (neudeutsch Workaround) verwendet. Und genau das ist sie. Sie umgeht den eigentlich angedachten Updateweg, um das Problem zu lösen und führt damit zum Ziel.

Eine Krücke also, die dir hilft das Ziel noch zu erreichen, was du ohne sie nicht geschafft hättest. Trifft wohl auf den Oxygen Updater voll zu oder?