تم اكتشاف ثغرة أمنية حرجة في تطبيق Google Messages على أجهزة Wear OS تسمح لأي تطبيق مثبت على الساعة بإرسال رسائل SMS أو MMS أو RCS بصمت وبدون أي تأكيد من المستخدم. تم توثيق الثغرة تحت المعرف CVE-2025-12080 وتعود جذورها إلى طريقة تعامل نظام التطبيقات في Wear OS مع نوايا ACTION_SENDTO وعناوين URI مثل sms وsmsto وmms وmmsto. نتيجة هذا الخلل لا تجري مطالبة المستخدم بإعطاء إذن أو تأكيد قبل إرسال الرسائل ما يفتح باب استغلال سهل ولامرئي.
يكمن السبب الجوهري في اختلاف سلوك Google Messages على Wear OS عن سلوكها على Android. تسمح آلية النوايا في نظام Android للتطبيقات بطلب تنفيذ إجراءات عبر نوايا صريحة أو ضمنية، بينما يفترض بعمليات حساسة مثل إرسال رسائل أن تستدعي تأكيد المستلم أو مطالبة المستخدم لمنع نمط confused deputy حيث ينفذ تطبيق ذي صلاحيات عملية بتكليف من تطبيق غير موثوق.
يعمل Google Messages على الهواتف وفق هذا المبدأ ويعرض طلب موافقة قبل الإرسال. بينما يختلف الأمر على الساعات، حيث تعتمد مرشحات النوايا في التطبيق على تكوين يسمح بتمرير المسارات دون تحقق كاف، فتقبل النية وتنفذها تلقائياً دون فحص صلاحيات SEND_SMS.
لا تتطلب الثغرة وجود كود خبيث معقد داخل التطبيق المخترق بل يكفي وجود تطبيق يبدو شرعياً مثل تطبيق لياقة أو خلفية شاشة أو أداة Tiles أو complication التي تطلق نوايا عند التفاعل. عندها يمكن تنفيذ أمر ACTION_SENDTO مع محتوى الرسالة ورقم المستلم وترسل الرسالة دون ظهور نافذة موافقة أو طلب إذن. أظهر الباحثون ذلك باستخدام كود Kotlin متاح على GitHub ضمن تقارير io-no لتوضيح كيفية استدعاء النية وإرسال رسالة اختبارية بدون تفاعل المستخدم.
تشمل المخاطر الناتجة انتهاك الخصوصية وتسريب معلومات شخصية إلى جهات خارجية، واستنزاف رصيد المستخدم عبر رسائل مدفوعة برقم اختياري، وحملات ابتزاز أو هجمات تصيد تستغل الرسائل المرسلة من هاتف الضحية، وكذلك الإساءة لسمعة المستخدم بإرسال رسائل مزعجة إلى جهات الاتصال. يصعب كشف الاستغلال لأن سجل الرسائل يعرض الرسائل المرسلة بشكل عادي ولا يظهر نافذة صلاحيات أو إشعار استدعاء من تطبيق خبيث.
أبلغت شركة io-no عن الثغرة عبر برنامج مكافآت ثغرات الأجهزة المتنقلة لدى Google وتلقت مكافأة مالية قبل أن تطرح Google تحديثاً تصحيحياً في مايو 2025. تم اختبار برهان المفهوم على Pixel Watch 3 يعمل Wear OS بنظام Android 15 إصدار BP1A.250305.019.w3 وإصدار Google Messages 2025_0225_RC03 حيث نجحت عملية الإرسال دون أي طلب موافقة.
تشمل إجراءات التخفيف الموصى بها للمستخدمين والمسؤولين الأمنيين تحديث النظام وتطبيق Google Messages فور توفر التحديث، فالتصحيح متاح ويعالج سوء تكوين مرشحات النوايا. على مستوى سياسات التثبيت، ينصح بتجنب تثبيت التطبيقات من متاجر خارجية غير موثوقة، ومراجعة الأذونات الممنوحة للتطبيقات على الهاتف والساعة، وحذف التطبيقات غير الضرورية أو المشبوهة، مع تفعيل Google Play Protect أو أي حل موثوق للتحقق من سلامة التطبيقات، وتقييد إمكانيات تنفيذ السكربتات أو الأوامر ذات الصلاحيات على الأجهزة المطورة إن أمكن.
على مطوري التطبيقات توخي الحذر عند إطلاق نوايا من مكونات واجهة Wear OS مثل Tiles وcomplications والتأكد من عدم تضمين مسارات إرسال رسائل قابلة للاستدعاء من تطبيقات خارجية. ينبغي على مطوري تطبيقات النظام والمصنعين مراجعة مرشحات النوايا وإجبار تطبيق المستلم على التحقق من هوية المصدر وطلب موافقة المستخدم قبل أي عملية إرسال حساسة. من جهة مزودي حلول الأمن على نقاط النهاية، يجب مراقبة حركة الرسائل الصادرة عن الأجهزة القابلة للارتداء والكشف عن أنماط إرسال متكررة أو استهداف أرقام غير مألوفة.
تيرز هذه الثغرة تحديات بيئات الأجهزة القابلة للارتداء حيث تضيق واجهات الاستخدام وتزداد الثقة الضمنية في تطبيقات النظام مما يعزز تأثير أي سوء تكوين أمني.
