Wear OS cihazlarında Google Mesajlar’da bulunan bir güvenlik açığı, yüklü herhangi bir uygulamanın kullanıcı adına sessizce SMS, MMS veya RCS mesajları göndermesine olanak tanıyor.
CVE-2025-12080 olarak adlandırılan sorun, sms:, smsto:, mms: ve mmsto: gibi URI şemaları kullanılarak ACTION_SENDTO amaçlarının hatalı işlenmesinden kaynaklanmaktadır.
Bu yanlış yapılandırma, kullanıcı onayını ve izin kontrollerini atlayarak saldırganların tespit edilmeden rastgele alıcılara mesaj göndermesine olanak tanır.
Çoğu Wear OS akıllı saatin varsayılan mesajlaşma uygulaması olan Google Mesajlar, riski daha da artırıyor. Sınırlı alternatifler mevcut olduğundan, kusurun muhtemelen platformu çalıştıran cihazların çoğunu etkilemesi muhtemeldir.
Bu yılın başlarında açıklanan güvenlik açığı, kompakt arayüzlerin ve sistem uygulamalarına duyulan örtülü güvenin tehditleri artırabileceği giyilebilir ekosistemlerin güvenliğinde devam eden zorlukları vurguluyor.
Güvenlik firması io-no, sorunu Google’ın Mobil Güvenlik Açığı Ödül Programı aracılığıyla bildirdi ve Mayıs 2025’te bir düzeltme kullanıma sunulmadan önce 2.250 ABD doları ödül kazandı.
Wear OS Mesaj Uygulamasındaki Güvenlik Açığı
Sorunun özünde, uygulamalar arası iletişim için temel bir mekanizma olan Android’in niyet sisteminde yatıyor. Niyetler, bileşenlerin bir eylem ve veri URI’si belirterek çevirici açma veya mesaj gönderme gibi eylemleri talep etmesine olanak tanır.
Açık amaçlar belirli bir uygulama bileşenini hedeflerken örtülü amaçlar, sistemin uygulamalar tarafından bildirilen eşleşen amaç filtrelerine yönlendirilmesine izin verir. Teorik olarak, mesaj gönderme gibi hassas işlemler, kullanıcının onayını sağlamak için alıcı uygulamada bir onay istemini tetiklemelidir.
Bu, ayrıcalıklı bir uygulamanın farkında olmadan güvenilmeyen bir arayan için eylemler yürüttüğü “kafası karışmış vekil” modelini önler. Standart Android’de Google Mesajlar, gönderilmeden önce uyarıda bulunarak buna uyar.
Ancak Wear OS’de uygulamanın mesajlaşma düzenlerine yönelik amaç filtreleri doğrulamayı zorunlu kılmıyor. Sonuç olarak herhangi bir uygulama, SEND_SMS izinlerine ihtiyaç duymadan bir ACTION_SENDTO amacını tetikleyebilir ve Google Mesajlar bunu otomatik olarak işleyecektir.
Güvenlik açığı, yararlanan uygulamada kötü amaçlı kod kullanılmasını gerektirmez; basit, yasal görünen bir uygulama yeterlidir. Örneğin, iyi huylu bir fitness takipçisi veya duvar kağıdı uygulaması, başlatıldığında veya düğmeye basıldığında etkinleştirilen amaç tetikleyicisini yerleştirebilir.
Araştırmacılar, Tiles veya komplikasyon gibi aynı zamanda amaçları başlatan Wear OS özelliklerinin saldırı yüzeyini genişletebileceğini ancak bu vektörlerin henüz keşfedilmediğini belirtiyor.
Bunun mahremiyet ve finans açısından sonuçları ciddidir. Saldırgan, truva atı haline getirilmiş bir uygulamayı yan yükleme veya üçüncü taraf mağazalar aracılığıyla dağıtabilir, ardından özel tarifeli SMS yoluyla verileri sızdırabilir veya kurbanın kimliğine bürünerek kişileri taciz edebilir.
Suistimal gizlidir: pop-up yok, izin isteği yok ve gönderilen mesaj günlüğünün ötesinde görünür bir iz yok.
GitHub’da io-no/CVE-Reports adresinde bulunan bir kavram kanıtı, örnek bir mesaj gövdesi ve alıcı URI’si ile amacı çağırmak için Kotlin kodunu kullanan kusuru gösterir.
Wear OS (Android 15, build BP1A.250305.019.w3) ve Google Mesajlar sürüm 2025_0225_RC03’e sahip Pixel Watch 3 üzerinde test edilen PoC, etik nedenlerden dolayı gerçek sayıları atlasa da mesajları etkileşim olmadan gönderir.
Google, 13 Mart 2025’te raporu kabul etti, keşfi övdü ve Mayıs ayına kadar yamaları dağıttı. Kullanıcılar cihazlarını derhal güncellemeli ve uygulama kurulumlarını incelemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
