CVE-2025-12080 : Une vulnérabilité critique sur Wear OS expose les utilisateurs à des SMS frauduleux

Imaginez que n’importe quelle application installée sur votre montre connectée puisse envoyer des textos sans votre consentement, générant des facturations indésirables ou des attaques de phishing. C’est désormais une réalité alarmante avec la vulnérabilité critique identifiée sous le CVE-2025-12080 affectant Google Messages sur Wear OS. Décryptage des risques et des solutions pour se protéger.

Les origines de la vulnérabilité : Comment fonctionne CVE-2025-12080

Découverte en mars 2025 par le chercheur en cybersécurité Gabriele Digregorio, cette faille révèle une faille de sécurité critique dans la gestion des intentions Android (intent handling) lorsque Google Messages sert d’application SMS/MMS/RCS par défaut sur les appareils Wear OS. Le mécanisme d’intention Android permet aux applications de communiquer entre elles, mais normalement, les applications destinataires doivent afficher une confirmation avant d’envoyer des messages sensibles. Google Messages, cependant, contourne cette mesure de sécurité vitale en traitant automatiquement les intents de message sans notification utilisateur.

La vulnérabilité cible quatre schémas d’URI spécifiques : sms:, smsto:, mms: et mmsto:. Un malicieux pourrait créer une application apparemment innocente (via des stores comme Google Play ou des canaux de distribution tiers) capable d’activer silencieusement des intents de message vers des numéros arbitraires. Sans besoin de permissions spécifiques comme SEND_SMS, cette application peut envoyer des SMS, MMS ou RCS sans aucune interaction utilisateur. Selon une estimation conservatrice, plus de 10 millions d’utilisateurs de Wear OS sont exposés à ce risque selon les analyses de menace, ce qui en fait une vulnérabilité à enjeux massifs.

Les risques concrets : Comment les cybercriminels exploitent CVE-2025-12080

Les attaques exploitant cette vulnérabilité offrent aux cybercriminels plusieurs vecteurs de menace :

• Facturation indue : En envoyant des SMS vers des numéros tarifés, les attaquants drainent des frais vers leurs comptes.
• Phishing et ingénierie sociale : Impersonation d’utilisateurs pour distribuer des messages frauduleux ou collecter des données sensibles.
• Fraude financière : Usurpation d’identité pour accéder à des comptes bancaires via des SMS OTP.

En France, selon une enquête de l’ANSSI en 2024, plus de 35% des vols d’identité sont désormais liés à des attaques mobiles. CVE-2025-12080 amplifie ce risque, notamment car les utilisateurs de montres connectées sont souvent moins vigilants quant aux permissions mobiles. Un exemple concret : une fausse application de suivi de santé pourrait envoyer des messages espionnant des informations médicales critiques sur des numéros tiers, violant ainsi le RGPD.

Les composants techniques : Pourquoi Wear OS est particulièrement vulnérable

Plusieurs facteurs techniques rendent CVE-2025-12080 si critique :

1. Manque de confirmation utilisateur : La suppression de l’écran de confirmation typique des intents Android.
2. Gestion des URI schémas : Les quatre schémas d’URI (sms:, smsto:, mms:, mmsto:) sont traités sans filtre.
3. Mode silencieux : Aucune notification est générée, rendant la détection extrêmement difficile.
4. Absence de permissions : Les applications cibles n’ont pas besoin de permissions SEN_SMS ou équivalentes.

Les plateformes affectées incluent les Pixel Watch 3 avec Wear OS 3.0 et Android 15, mais toutes les versions ultérieures restent potentiellement vulnérables tant que le correctif n’est pas appliqué.

Mesures immédiates : Protéger votre appareil contre CVE-2025-12080

Pour limiter les risques, voici les étapes actionnables recommandées :

1. Mettez à jour Google Messages : Dès que le correctif sera disponible via les stores officiels.
2. Désactivez Google Messages comme application par défaut : Utilisez une alternative mobile (Si disponible) via Paramètres > Applications > Applications par défaut > Messages.
3. Supprimez les applications suspectes : Si vous soupçonnez une infection, désintallez tous les apps récemment installés.
4. Vérifiez vos factures télécom : Recherchez des SMS non émis à des numéros inconnus.
5. Activez l’authentification à deux facteurs : Sur vos comptes bancaires pour limiter les impacts en cas de vol d’OTP.

Conseil expert : Utilisez Malwarebytes ou Lookout pour scanner vos apps Wear OS. Ces outils repèrent les applications non signées ou modifiées.

Réponse de Google et perspectives : Est-ce vraiment sécurisé ?

Après notification via le Mobile Vulnerability Reward Program, Google a confirmé la vulnérabilité et a attribué une récompense à Gabriele Digregorio. Le correctif devrait inclure :

• Renforcement du mécanisme de confirmation des intents.
• Filtrage des URI schémas non autorisés.
• Audit de sécurité approfondi des applications par défaut sur Wear OS.

Selon les standards ISO 27001, Google devra :

• Documenter la vulnérabilité dans sa base de connaissance.
• Informer les utilisateurs par notification push.
• Mettre en place des contrôles de sécurité supplémentaires pour les applications tierces.

Pour les utilisateurs, la vulnérabilité soulève une question critique : dans quelle mesure peut-on encore faire confiance aux applications par défaut sur Wear OS ? L’ANSSI recommande de limiter les utilisations sensibles à ces appareils jusqu’à ce que les correctifs soient largement déployés.

Conclusion : Agir maintenant pour éviter des conséquences graves

La vulnérabilité CVE-2025-12080 expose des millions d’utilisateurs de Wear OS à des attaques SMS frauduleuses sans mécanismes de notification. Les cybercriminels exploitent une faille de conception dans la gestion des intents Android, rendant silencieuse la transmission de messages vers des numéros malveillants. Pour se protéger, mettez à jour Google Messages dès que possible, réduisez les permissions et surveillez attentivement vos factures. La sécurité mobile exige une vigilance constante – car une vulnérabilité peut désormais transformer votre montre connectée en outil d’ingénierie sociale insidieuse.

Prochaine étape : Vérifiez régulièrement les mises à jour de sécurité sur vos appareils Wear OS et activez les notifications de sécurité via l’application Google Play Store.