Wear OS 信息应用存在权限漏洞CVE-2025-12080

Wear OS 是由 Google 主导开发的智能手表操作系统，是 Android 操作系统的一个分支版本，该系统专为智能手表和其他可穿戴设备设计。

一、基本情况

Wear OS前身为Android Wear，首个预览版公布于2014年03月，2023年推出的Wear OS 4.0基于Android 13，支持Material You动态主题。

Wear OS 可与运行 Android 6.0 “Marshmallow” 或更新版本的手机配对，也能与 iOS 10.0 或更新版本的手机配对，但与 iOS 配对支持有限。

栋科技漏洞库关注到Google Messages for Wear OS中存在一个新发现的漏洞，漏洞被追踪为CVE-2025-12080，漏洞的CVSS 4.0评分6.9。

二、漏洞分析

CVE-2025-12080是位于 Wear OS 信息应用中的权限漏洞，可导致无权限应用在未经用户授权的情况下发送短信/RCS消息，POC已公开。

该漏洞允许任何已安装的应用以用户名义发送短信（SMS）、彩信（MMS）或RCS消息，可用于静默消息发送，无需任何权限或用户交互。

因此，漏洞根源在于Google Messages处理意图请求（Android系统中允许应用通信并执行拨号、撰写消息等系统级操作的机制）的方式。

具体而言，该漏洞存在于在 Wear OS 上，当 Google Messages 是默认的短信/MMS/RCS 应用程序时，

ACTION_SENDTO使用 sms:、smsto:、mms: 和 mmsto: URI 方案的 intents 处理不正确。

这就导致了调用Android意图的攻击者可利用这一漏洞，在无需用户进一步交互或特定权限的情况下，可以用户名义向任意接收者发送消息。

正常来说消息应用应在发送前显示确认界面以确保用户同意，但Google Messages 是许多 Wear OS 设备的默认短信/MMS/RCS 应用程序。

但Google Messages在Wear OS上未执行这一预期行为，这意味着替代选择有限，增加了漏洞在大多数Wear OS设备上可被利用的可能性。

这使得Google Messages沦为安全人员所述的“困惑的代理人”（confused deputy）——一个特权系统组件代表非特权调用者执行敏感操作。

三、POC概念验证

1、攻击模型

假设目标智能手表已安装应用，应用可发送含SMS/MMS URI和消息的简单ACTION_SENDTO意图，Google Messages随后立即发送消息。

攻击模型中安装的应用本身无需包含恶意代码，且不需要特殊权限（如SEND_SMS）。因此，设备上任何已安装的应用都可能利用此漏洞。

2、意图处理

在Android和Wear OS上， intents 是一种核心通信机制，允许应用程序和系统组件请求和执行操作。

根据官方Android文档，Intent是一个你可以用来请求另一个应用组件执行操作的消息对象”(Android开发者指南 — Intents和Intent Filters).

意图定义了一个要执行的操作及其相关数据。意图可以是显式的或隐式的：

显式意图指定了要在一个特定应用内启动的确切组件（如Activity或Service）。

隐式意图声明一个动作而不命名目标组件。在这种情况下，系统会搜索已注册与请求匹配的意图过滤器的应用程序。

每个应用程序通过意图过滤器声明它可以处理的意图，并指定这些操作是否向其他应用程序公开或仅限于内部使用。

例如，一个拨号器应用可以暴露一个意图过滤器，允许它处理与电话相关的URI方案，如tel:。

这意味着其他应用可发出一个带有动作Intent.ACTION_SENDTO和数据如tel:+1234567890的意图，导致系统打开拨号器并预填电话号码。

当一个意图导致一个敏感操作时，接收应用应在执行之前展示一个确认界面，确保用户明确批准该操作并防止其他应用间接触发特权行为。

此确认要求也应适用于ACTION_SENDTO用于发送消息的意图，例如使用sms:、smsto:、mms:或mmsto:URI方案的意图。

通常，接收这些意图的的消息应用程序应在发送消息之前提示用户确认，以确保对操作的明确同意。

然而，在Wear OS上，Google Messages不遵守这一期望。

由于Google Messages处理这些URI方案的方式存在配置错误，该应用程序在不显示确认提示或要求用户互动的情况下自动发送消息。

结果，任何已安装的应用程序，无论其权限如何，都可以发出这样的意图，并代表用户发送消息。

这种行为是“困惑的副手”模式的一个实例：Google Messages 为无权调用者执行特权操作，并违反了 Android 预期的权限模型。

3、意图调用

该应用程序可以在打开时或按下按钮时自动触发一个ACTION_SENDTO意图。

以下是用于调用短信意图的示例代码片段：

管理员已设置登录后刷新可查看

4、概念验证 (PoC)

完整的 PoC 可在 GitHub 上找到，地址是 

管理员已设置登录后刷新可查看

PoC 展示了 sms:、smsto:、mms: 和 mmsto: URI 方案的使用。

通过 Wear OS 上的 Tiles 或 Complications 可能会触发类似的行为，因为这些组件也可以启动 intents。

5、测试环境

Pixel Watch 3 运行 Wear OS (Android 15 BP1A.250305.019.w3)

谷歌消息messages_android_2025_0225_RC03.wear_dynamic

注意： PoC 提供的样本会将接收方电话号码字段留空以保护隐私。在复制时，请用真实的目标号码替换。

6、攻击场景

攻击者可以分发一个看似合法的应用程序，并在用户不知情的情况下向任意目标发送消息，而无需任何用户权限。

这可能导致多种安全和财务威胁。

由于利用不需要权限，该漏洞具有高度的隐蔽性，用户难以检测到。

此外，虽然本报告集中讨论了通过已安装的应用程序进行利用，但 Wear OS 上的其他意图触发机制也可能会被滥用。

7、漏洞利用

所提议的利用需要在目标设备上安装一个应用程序：

该应用程序不需要包含恶意代码。

该漏洞源于 Wear OS 上的 Google Messages 处理 intent 的方式；攻击者的应用中的 intent 调用是标准且格式正确的。

不需要特殊权限（例如 SEND_SMS）。

因此，任何安装在设备上的应用程序都可以利用这个漏洞。

四、影响范围

wearos < 30-04-202

五、修复建议

wearos >= 30-04-202

六、参考链接

管理员已设置登录后刷新可查看