Критическая уязвимость, обнаруженная в приложении Google Messages для операционной системы Wear OS, подвергла миллионы пользователей умных часов значительным рискам безопасности. Идентифицированная как CVE-2025-12080, эта уязвимость позволяет любому установленному приложению отправлять текстовые сообщения от имени владельца устройства без необходимости получения разрешений, подтверждения действий или какого-либо взаимодействия с пользователем.
Детали уязвимости
Исследователь безопасности Габриэле Дигрегорио обнаружил данную проблему в марте 2025 года и получил вознаграждение через программу вознаграждений за мобильные уязвимости Google за ответственное раскрытие информации. Уязвимость связана с неправильной обработкой intent (намерений) в приложении Google Messages, когда оно работает как приложение по умолчанию для обработки SMS, MMS или RCS на устройствах с Wear OS.
Intent представляет собой механизм обмена сообщениями в Android, который позволяет приложениям запрашивать действия от других компонентов системы. В нормальных условиях, когда приложение отправляет чувствительный intent, такой как ACTION_SENDTO для доставки сообщений, принимающее приложение должно отображать запрос подтверждения. Однако Google Messages на Wear OS обходит эту важную меру безопасности, автоматически обрабатывая намерения отправки сообщений без подтверждения пользователя.
Проблема затрагивает четыре схемы URI: sms:, smsto:, mms: и mmsto:. Злоумышленник может создать внешне безобидное приложение, которое при установке на целевое устройство автоматически активирует намерения отправки сообщений на произвольные номера телефонов без ведома или явного согласия пользователя. Google Messages просто выполняет эти запросы без уведомления, нарушая модель разрешений Android и создавая то, что исследователи безопасности называют уязвимостью типа "confused-deputy" (сбитый с толку заместитель).
Поскольку Google Messages является приложением для обмена сообщениями по умолчанию на большинстве устройств с Wear OS с ограниченными сторонними альтернативами, уязвимость затрагивает значительную часть пользователей умных часов. Требования для эксплуатации минимальны: злоумышленнику достаточно распространить приложение, которое выглядит легитимно, через магазины приложений или другие каналы распространения. Вредоносное приложение не требует специальных разрешений, таких как SEND_SMS, и может активироваться при запуске или через взаимодействие пользователя с элементами интерфейса.
Злоумышленник может использовать эту уязвимость для отправки сообщений на платные номера, распространения спама или фишингового контента, выдачи себя за пользователя для атак социальной инженерии или содействия финансовому мошенничеству. Атака остается скрытой, поскольку пользователи обычно не получают уведомлений и не могут легко обнаружить несанкционированную отправку сообщений, что делает обнаружение чрезвычайно сложным до наступления значительного ущерба.
Демонстрационный пример Дигрегорио показывает уязвимость с использованием стандартных практик программирования для Android. Эксплойт вызывает intent ACTION_SENDTO, указывая номера телефонов получателей и содержимое сообщения через уязвимые схемы URI. Приложение может активировать эти intent автоматически при открытии или когда пользователи взаимодействуют с кнопками, плитками или осложнениями в интерфейсе Wear OS. Тестирование подтвердило наличие уязвимости на устройствах Pixel Watch 3 под управлением Wear OS с Android 15.
Тревожный аспект заключается в том, что эксплуатация не требует технической изощренности или продвинутых методов взлома. Любой разработчик может внедрить эту уязвимость в приложение, намеренно или через скомпрометированные учетные записи в магазине приложений.
Google был уведомлен об этой уязвимости через каналы ответственного раскрытия информации. Пользователям следует обновить Google Messages до последней доступной версии, когда исправления станут доступны. Кроме того, пользователям Wear OS следует проявлять осторожность при установке приложений и тщательно проверять разрешения приложений, даже несмотря на то, что эта конкретная уязвимость обходит стандартные требования к разрешениям.
Обеспокоенные безопасностью пользователи могут рассмотреть альтернативные приложения для обмена сообщениями, когда они доступны на их устройствах с Wear OS, хотя варианты остаются ограниченными по сравнению с Android-смартфонами. Своевременное применение обновлений безопасности и осознанный подход к установке приложений остаются ключевыми мерами защиты от подобных угроз в экосистеме носимых устройств.
