Ваши часы говорят за вас: 0day-брешь в Google Messages превратила Wear OS в спам-бота

leer en español

Google Wear OS Pixel Watch 3 CVE-2025-12080 Android уязвимость сообщения
Ваши часы говорят за вас: 0day-брешь в Google Messages превратила Wear OS в спам-бота
Google Wear OS Pixel Watch 3 CVE-2025-12080 Android уязвимость сообщения

О том, что ваш номер использовали для фишинга, вы узнаете самым последним.

image

Уязвимость в приложении Google Messages для Wear OS поставила под угрозу конфиденциальность миллионов владельцев смарт-часов, позволив сторонним программам отправлять сообщения от имени пользователя без запроса разрешений и подтверждения. Проблема получила идентификатор CVE-2025-12080 и затрагивает те устройства, на которых Google Messages установлено как основное средство отправки SMS, MMS или RCS.

Ошибка связана с некорректной обработкой так называемых интентов — механизмов Android, с помощью которых одно приложение может запросить выполнение действия у другого. В случае чувствительных операций, таких как отправка сообщений через интент ACTION_SENDTO, система должна выводить запрос на подтверждение. Однако версия Google Messages для смарт-часов игнорирует этот шаг и немедленно отправляет сообщения, нарушая базовую модель безопасности Android.

Уязвимость охватывает четыре типа URI: sms:, smsto:, mms: и mmsto:. Это означает, что вредоносное приложение, установленное на часы, может без ведома пользователя инициировать отправку сообщений на произвольные номера. Программа не требует разрешения SEND_SMS и может запускать отправку сразу при открытии или при взаимодействии с элементами интерфейса — кнопками, плитками или виджетами.

Проблема особенно опасна из-за своей скрытности: отправка сообщений проходит незаметно, пользователь не получает никаких уведомлений, а установить факт вторжения можно только по косвенным признакам. Таким образом, злоумышленник может рассылать спам, фишинг или сообщения на платные номера, а также выдавать себя за жертву, используя её устройство в целях социальной инженерии.

Уязвимость была обнаружена Габриэле Дигрегорио в марте 2025 года. За ответственное раскрытие через программу Google Mobile VRP он получил вознаграждение. Для демонстрации ошибки он подготовил рабочий эксплойт, использующий стандартные средства Android-программирования. В ходе испытаний проблема была подтверждена на Pixel Watch 3 под управлением Wear OS и Android 15.

Ситуацию усугубляет то, что Google Messages предустановлено на большинстве смарт-часов, а альтернатив среди сторонних мессенджеров практически нет. Поэтому угроза затрагивает широкую аудиторию, а для её реализации достаточно замаскировать вредоносное приложение под безобидное и распространить его через магазины приложений или иные каналы.

Google уже получил уведомление о проблеме, и пользователям настоятельно рекомендуется установить обновления, как только они станут доступны. Также специалисты советуют внимательнее относиться к выбору приложений и проверять предоставляемые ими разрешения, несмотря на то что в данном случае стандартные механизмы контроля оказываются неэффективными. При наличии возможности стоит рассмотреть использование других мессенджеров, хотя в экосистеме Wear OS их выбор ограничен.