CVE-2025-12080
Mis à jour :
Exploitation d’intentions dans Google Messages sur Wear OS
Une faille de sécurité identifiée sous la référence CVE-2025-12080 concerne une mauvaise configuration des gestionnaires d’intentions dans l’application Google Messages sur Wear OS. Cette vulnérabilité permet à des attaquants, capables de déclencher des intentions, d’envoyer des messages à la place de l’utilisateur sans aucune confirmation ni autorisation explicite.
Le problème survient lorsque Google Messages est défini comme l’application par défaut pour les SMS, MMS et RCS, et qu’il traite incorrectement les intentions ACTION_SENDTO utilisant les schémas d’URI sms:, smsto:, mms: et mmsto:.
Points clés et Vulnérabilités :
- Nom de la vulnérabilité : CVE-2025-12080
- Type de faille : Mauvaise configuration du gestionnaire d’intentions.
- Impact : Permet l’envoi de messages non sollicités et discrets par un attaquant.
- Mécanisme d’exploitation : Un attaquant peut distribuer une application apparemment légitime qui envoie silencieusement des messages à des destinataires arbitraires, contournant ainsi les permissions utilisateur habituelles.
- Risques : Menaces de sécurité et financières, car l’exploitation est furtive et difficile à détecter pour l’utilisateur.
Recommandations :
Bien que l’article ne fournisse pas de recommandations spécifiques de correction (celles-ci sont généralement publiées par le fournisseur), il est implicite que les utilisateurs doivent être vigilants quant aux applications installées et à leurs permissions. Les développeurs devraient s’assurer d’implémenter correctement la gestion des intentions et de valider les schémas d’URI pour prévenir de telles exploitations.