OnePlus: Haarsträubende Behandlung einer schweren Sicherheitslücke

[farrol]

Siehe auch:
OxygenOS 12+ devices affected by major SMS vulnerability

Das betrifft alle OnePlus Smartphones mit OxygenOS 12 oder höher. SMS können auch ohne ausreichende Berechtigung von Third Party Apps ausgelesen werden. Diese Lücke existiert schon seit 2021 (Release von OxygenOS 12).

Diese schwere Sicherheitslücke wurde am 1. Mai 2025 von der Firma Rapid7 an OnePlus kommuniziert, bisher ist kein Fix veröffentlicht.

Außerdem hat OnePlus mehr als 5 Monate nicht mit Rapid7 kommuniziert, sondern erst nachdem die Lücke veröffentlicht wurde.

OnePlus knew about this major vulnerability for at least 5 months, but did not communicate with the security researchers until it became a PR problem.

Ich finde es absolut haarsträubend, wie OnePlus mit so einer schweren Sicherheitslücke umgeht.

Und mein OnePlus 12 ist immer noch auf :
CPH2581_15.0.0.832(EX01V110P04)
Android-Sicherheitsupdate 1. Juni 2025

Na dann wird es hoffentlich schon 2026 einen Fix für die SMS Lücke erhalten

 

[daywalker1911]

@farrol jepp hab ich vorhin auch gelesen. Schin erschreckend das da nix gemacht wird

Wieso bist du noch auf so nen alten Stand?

 

[farrol]

Wieso bist du noch auf so nen alten Stand?

Mir wurde noch kein Update angeboten, online Check zeigt auch nichts.

Ich weiß, dass es mit Oxygen Updater geht, aber das ist ja nicht der offizielle Weg. Traurig dass es OnePlus nicht auf die Reihe bekommt, die Updates zeitnah auszurollen.

 

[daywalker1911]

@farrol naja dann mach halt übern oxygen Updater. Da wird auch nichts mehr kommen über den normalen Updater.

 

[silver77]

Servus @farrol ,

ich habe das gleiche Problem.

Hätte nicht gedacht das es bei einem "offiziellen" Gerät das direkt bei Amazon gekauft wurde so ein eklatante Unterschiede bei den Updates gibt.

Laut offiziellem Support wäre das normal und die Updates kämen in Wellen.

 

[marcodj]

Da gibt es schon extra eine Super App für Oneplus die es bei anderen Herstellern so nicht gibt mit der Oxygen Updater App aber man nutzt sie einfach nicht. Warum ist mir echt schleierhaft.

 

[farrol]

Diese "Super App" ist nicht original von OnePlus und voller Werbemüll.

Man wird ja wohl noch erwarten können, dass der Hersteller seine Produkte zeitnah mit Updates versorgt.

Bei anderen guten Herstellern braucht man so eine Krücke auch nicht, da kommen die Updates over-the-air automatisch.

 

[mf99]

..., aber das ist ja nicht der offizielle Weg.

Das mag auf den "Weg" ja zutreffen, aber Du installierst das "offizielle" Update direkt vom 1+-Server. Ich habe seit meinem 6T bestimmt 99% aller Updates auf diesem Weg installiert. So hatte ich es immer sofort am Tag des Erscheinens. Es gab Zeiten, da haben manche Leute Monate lang gewartet. Ich nie.
Nutzer anderer Hersteller werden uns sicher beneiden um diese Möglichkeit. Außerdem kannst Du wählen zwischen "Inkrementeller" und "Vollständiger" Aktualisierung. OTA bekommst Du (nur) ersteres.

Beiträge automatisch zusammengeführt: 05.10.2025

... voller Werbemüll.

Das muß an Dir liegen, ich habe keine Werbung.

 

[esc]

Wenn du sichere Software und möglichst schnelle Behebungen möchtest, muss du von chinesischen Herstellern weg und die üblichen Verdächtigen nehmen.

 

[farrol]

Das muß an Dir liegen, ich habe keine Werbung.

Siehe Screenshots, aus dem Playstore installiert
Oxygen Updater - Apps on Google Play

 

[daywalker1911]

@farrol das installiere doch die App..Lad das Update runter.. schmeiß die App wieder runter. Einfache Lösung.
Aber ich glaub du willst einfach nicht weil darum..dann bleib auf dem Stand vom Juni und gut is.

 

[mf99]

@farrol Wenn Du so geizig bist, die lächerlichen 2 Euro zu bezahlen, weil für Dich alle umsonst arbeiten müssen, dann kann ich Dir auch nicht helfen.

 

[der.unioner]

Geh doch mal in die Einstellungen, dann auf Verbindungen und Teile, Privates DNS und mach es wie auf meinem Screenshot. Dann ist die Werbung auf dein Handy weg.

 

[farrol]

Die App ist eine Krücke, die nur deswegen so populär ist, weil OnePlus es nicht gebacken bekommt, die Updates vernünftig auszuliefern.

Genau das stört mich.

Außerdem ist das Off Topic, eigentlich geht es hier im Thread um die selbst verbockte SMS Sicherheitslücke, die seit 2021 in OxygenOS ist und um die sich OnePlus nicht gekümmert hat, obwohl sie schon im Mai gemeldet wurde.

 

[marcodj]

Genau das stört mich.

Dann lass es wie es ist und Ärger dich noch Monate weiter. Die anderen User benutzen die App und das Problem ist gelöst.

Es kann so einfach sein wenn man nur will.

Beiträge automatisch zusammengeführt: 05.10.2025

Die App ist eine Krücke

So ein Schwachsinn. Die macht genau das was sie machen soll... Ein neues Update finden und installieren. Danach kann man die auch wieder deinstallieren wenn man deswegen warum auch immer irgendwelche Ängste entwickelt.

 

[KnudBoerge]

So ein Schwachsinn. Die macht genau das was sie machen soll.

Das Wort "Krücke" wird in der Softwareentwicklung umgangssprachlich für eine Umgehungslösung (neudeutsch Workaround) verwendet. Und genau das ist sie. Sie umgeht den eigentlich angedachten Updateweg, um das Problem zu lösen und führt damit zum Ziel.

Eine Krücke also, die dir hilft das Ziel noch zu erreichen, was du ohne sie nicht geschafft hättest. Trifft wohl auf den Oxygen Updater voll zu oder?

 

[marcodj]

@KnudBoerge
In der Zeit wo wir hier hin und her diskutieren hätte man schon längst das Problem mit Hilfe der App lösen/Ziel erreichen können. Darum ging es mir.

Wenn man die "Krücke" aber nicht benutzt dann ist es wohl auch keine

 

[Dik2312]

Wenn du sichere Software und möglichst schnelle Behebungen möchtest, muss du von chinesischen Herstellern weg und die üblichen Verdächtigen nehmen.

Echt, für mich sind solche Aussagen eher Klischee behaftet.

 

[farrol]

"Die App ist eine Krücke"

So ein Schwachsinn. Die macht genau das was sie machen soll..

Ja, die Krücke macht genau, was sie machen soll. Sie stammt aber gar nicht von OnePlus. Das ist eine Third Party App. Da muss ich dem Hersteller der App auch noch vertrauen.

Und OnePlus macht nicht, was es eigentlich machen soll, nämlich zeitnah Updates ausliefern, die ohne Umwege auf den Geräten landen.

Und das Thema des Threads war auch eigentlich nicht OxygenUpdater, sondern die Behandlung einer von OnePlus selbst verursachten schweren Sicherheitslücke, die seit 2021 im System ist. Und die ignoriert wurde, selbst nachdem sie am 1. Mai 2025 von der Firma Rapid7 an OnePlus kommuniziert wurde.

Und diese Lücke ist immer noch nicht gefixt, da hilft auch kein OxygenUpdater.

Ich habe OnePlus damals eigentlich gewählt, weil ich der Firma vertraut habe, das war unter der Führung von Carl Pei.

Seit der aber weg ist und seit OxygenOS nur noch ein Branding von ColorOS ist, ist von dem Vertrauen nicht mehr viel übrig, vor allem wegen des Themas Security Updates.

 

[daywalker1911]

@farrol ja doch verstehen wir doch. Aber deswegen musst ja nicht andere Lücken offen lassen weil du dich weigerst Updates zu installieren nur weil diese nicht auf dem offiziellen Weg kommen . Da ist diese SMS Lücke dein kleinstes Problem.
Oxygen Updater kannst du Vertrauen.