概要
Google Messages for Wear OSに発見された重大な脆弱性(CVE-2025-12080)により、数百万人のスマートウォッチユーザーが深刻なセキュリティリスクに晒されています。この欠陥は、インストールされた任意のアプリケーションが、権限、確認、またはユーザーの操作を必要とせずに、ユーザーに代わってテキストメッセージを送信することを可能にします。セキュリティ研究者のGabriele Digregorio氏が2025年3月にこの脆弱性を発見し、Googleのモバイル脆弱性報奨金プログラムを通じて報奨金が授与されました。
脆弱性の仕組み
この脆弱性は、Google MessagesがWear OSデバイスでデフォルトのSMS、MMS、またはRCSアプリケーションとして動作する際の不適切なインテント処理に起因します。インテントは、アプリケーションが他のコンポーネントにアクションを要求することを可能にするAndroidのメッセージングメカニズムです。通常、アプリがメッセージ配信のためのACTION_SENDTOのような機密性の高いインテントを送信する場合、受信側アプリケーションは確認プロンプトを表示するべきです。しかし、Wear OS上のGoogle Messagesは、この重要なセキュリティ対策を迂回し、ユーザーの確認なしにメッセージインテントを自動的に処理します。
この欠陥は、以下の4つのURIスキームに影響を与えます。
- sms:
- smsto:
- mms:
- mmsto:
攻撃者は、標的のデバイスにインストールされた際に、ユーザーの知識や明示的な承認なしに、任意の電話番号にメッセージ送信インテントを自動的にトリガーする、一見無害なアプリケーションを作成することができます。Google Messagesはこれらの要求をサイレントに実行し、Androidのパーミッションモデルに違反し、セキュリティ研究者が「混乱した代理人(confused-deputy)」脆弱性と呼ぶものを作り出します。
影響と悪用
Google Messagesは、サードパーティの代替手段が限られているほとんどのWear OSデバイスでデフォルトのメッセージングアプリであるため、この脆弱性はスマートウォッチユーザーのかなりの部分に影響を与えます。悪用の要件は最小限であり、攻撃者はアプリストアや他の配布チャネルを通じて、正当に見えるアプリケーションを配布するだけで済みます。悪意のあるアプリは、SEND_SMSのような特別な権限を必要とせず、起動時またはWear OSインターフェースのボタン、タイル、コンプリケーションとのユーザーインタラクションを通じてアクティブ化できます。
攻撃者はこの欠陥を悪用して、以下のような行為を行う可能性があります。
- プレミアムレート番号へのメッセージ送信
- スパムやフィッシングコンテンツの配布
- ソーシャルエンジニアリング攻撃のためのユーザーのなりすまし
- 金融詐欺の促進
ユーザーは通常、通知を受け取らず、不正なメッセージ送信を容易に検出できないため、攻撃はステルス性を保ち、重大な損害が発生するまで検出が非常に困難になります。
概念実証と緩和策
Digregorio氏の概念実証は、標準的なAndroidプログラミング手法を使用して脆弱性を実証しています。このエクスプロイトは、脆弱なURIスキームを通じて、受信者の電話番号とメッセージコンテンツを指定するACTION_SENDTOインテントを呼び出します。アプリケーションは、開かれたとき、またはユーザーがWear OSインターフェースのボタン、タイル、コンプリケーションと対話したときに、これらのインテントを自動的にトリガーできます。テストでは、Android 15を搭載したPixel Watch 3デバイスで脆弱性が確認されました。
懸念される点は、悪用には技術的な高度さや高度なハッキング技術が不要であることです。意図的であろうと、侵害されたアプリストアアカウントを通じてであろうと、どの開発者でもこの脆弱性をアプリケーションに組み込むことができます。
Googleはこの脆弱性について、責任ある開示チャネルを通じて通知を受けています。ユーザーは、パッチが利用可能になったら、Google Messagesを最新バージョンに更新する必要があります。さらに、Wear OSユーザーは、この特定の脆弱性が標準的な権限要件を迂回するにもかかわらず、アプリケーションをインストールする際には注意を払い、アプリの権限を慎重に確認する必要があります。セキュリティ意識の高いユーザーは、Wear OSデバイスで利用可能な場合は代替のメッセージングアプリケーションを検討すべきですが、Androidスマートフォンと比較して選択肢は限られています。