Vulnérabilité Critique dans Wear OS : Un Fléau de Sécurité Expose les Utilisateurs à des Mensurations Non Autorisées

Aurélien Fontevive

Une Vulnérabilité C不利able dans Wear OS : Les Applications Peuvent Envoyer des SMS Sans Consentement

En mars 2025, un chercheur en cybersécurité a découvert une faille critique dans l’application Google Messages sur Wear OS, identifiée sous le CVE-2025-12080. Cette vulnérabilité permet à n’importe quelle application installée de envoyer des messages texte au nom de l’utilisateur, sans requérir d’autorisations, de confirmation ou d’interaction. Selon une estimation conservatrice, plus de 15 millions d’utilisateurs de smartwatches utilisant Wear OS sont exposés à ce risque, ce qui représente un danger majeur en matière de sécurité et de vie privée.

Mécanisme Technique de la Vulnérabilité

Description de l’Exploitation

La faille réside dans la gestion incorrecte des intents dans Google Messages lorsqu’il agit comme l’application par défaut pour SMS, MMS ou RCS sur les appareils Wear OS. Normalement, un intent Android relatif à l’envoi de messages devrait déclencher une confirmation utilisateur. Cependant, dans ce cas, Google Messages contourne cette mesure de sécurité cruciale et traite silencieusement les demandes d’envoi.

Schémas d’URI Concernés

Les quatre schémas d’URI affectés sont : sms:, smsto:, mms:, et mmsto:. Un attaquant peut créer une application qui, une fois installée, active automatiquement des intents pour envoyer des messages vers des numéros arbitraires sans l’accord de l’utilisateur. Cela constitue un exemple classique d’attaque de type “confused deputy”.

Impact et Risques associés

Menaces Spécifiques

Cette vulnérabilité expose les utilisateurs à plusieurs types de menaces :

  • Envoi de messages vers des numéros premium pour générer des frais non autorisés.
  • Diffusion de spam ou de phishing, potentiels pour des attaques sociales.
  • Impersonation d’utilisateur pour faciliter des fraudes financières.
  • Détectabilité faible, car les utilisateurs reçoivent souvent aucune notification des messages envoyés.

Mesures de Protection et Recommandations

Pour les Utilisateurs

  1. Mise à jour régulière : Les utilisateurs doivent surveiller les mises à jour de Google Messages et les appliquer dès leur disponibilité.
  2. Examen critique des applications installées : Éviter les applications d’origine inconnue ou peu fiables.
  3. Utilisation d’applications alternatives : Bien que limitée sur Wear OS, envisager d’autres applications de messagerie si disponibles.

Pour les Développeurs

  • Vérification stricte des permissions lors de l’utilisation des intents.
  • Validation des uri schemes avant l’envoi de messages.

Perspectives et Avenir de la Sécurité sur Wear OS

Alors que Wear OS gagne en popularité, la sécurité des applications dérivées devient un enjeu critique. Les chercheurs recommandent une collaboration accrue entre Google, les développeurs et les organismes de sécurité pour anticiper et corriger ces vulnérabilités avant leur exploitation à grande échelle.

Conclusion : Une Urgence pour la Sécurité des Smartwatches

La découverte de cette vulnérabilité critique dans Wear OS souligne l’importance d’une vigilance constante en matière de cybersécurité. Les utilisateurs doivent être conscients des risques liés aux applications installées et suivre les recommandations de protection. Les développeurs, quant à eux, doivent intégrer des mécanismes de sécurité robustes dès la conception des applications. Ensemble, ces efforts pourront atténuer les menaces actuelles et futures, garantissant ainsi une utilisation sécurisée des technologies portables.