Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong Google Messages dành cho Wear OS, gây ra rủi ro an ninh đáng kể cho hàng triệu người dùng đồng hồ thông minh. Lỗ hổng này cho phép bất kỳ ứng dụng đã cài đặt nào gửi tin nhắn văn bản thay mặt người dùng mà không yêu cầu quyền, xác nhận hay tương tác từ phía người dùng.

CVE-2025-12080: Phân Tích Lỗ Hổng CVE trong Google Messages cho Wear OS

Lỗ hổng này được định danh là CVE-2025-12080, và đã được nhà nghiên cứu bảo mật Gabriele Digregorio phát hiện vào tháng 3 năm 2025. Digregorio đã nhận được tiền thưởng thông qua Chương trình Phần thưởng Lỗ hổng Di động của Google cho việc tiết lộ có trách nhiệm.

Lỗ hổng CVE này xuất phát từ việc xử lý intent không đúng cách trong Google Messages khi ứng dụng này hoạt động như một ứng dụng SMS, MMS, hoặc RCS mặc định trên các thiết bị Wear OS. Để biết thêm thông tin về các lỗ hổng CVE, bạn có thể truy cập cơ sở dữ liệu quốc gia về lỗ hổng tại NVD – National Vulnerability Database.

Cơ Chế Khai Thác Lỗ Hổng

Intent là một cơ chế nhắn tin của Android cho phép các ứng dụng yêu cầu hành động từ các thành phần khác. Thông thường, khi một ứng dụng gửi một intent nhạy cảm như ACTION_SENDTO để gửi tin nhắn, ứng dụng nhận phải hiển thị lời nhắc xác nhận.

Tuy nhiên, Google Messages trên Wear OS đã bỏ qua biện pháp bảo mật quan trọng này, tự động xử lý các intent gửi tin nhắn mà không cần xác nhận từ người dùng.

Lỗ hổng CVE này ảnh hưởng đến bốn lược đồ URI:

• sms:
• smsto:
• mms:
• mmsto:

Một kẻ tấn công có thể tạo một ứng dụng tưởng chừng vô hại, khi được cài đặt trên thiết bị mục tiêu, sẽ tự động kích hoạt các intent gửi tin nhắn đến các số điện thoại tùy ý mà người dùng không hề hay biết hoặc không có sự chấp thuận rõ ràng. Google Messages đơn giản thực hiện các yêu cầu này một cách âm thầm, vi phạm mô hình cấp quyền của Android và tạo ra một lỗ hổng mà các nhà nghiên cứu bảo mật gọi là “confused-deputy”.

Kịch Bản Tấn Công Mạng và Tác Động

Vì Google Messages là ứng dụng nhắn tin mặc định trên hầu hết các thiết bị Wear OS và có ít lựa chọn thay thế từ bên thứ ba, lỗ hổng CVE này ảnh hưởng đến một phần đáng kể người dùng đồng hồ thông minh. Yêu cầu khai thác là tối thiểu: kẻ tấn công chỉ cần phân phối một ứng dụng có vẻ hợp pháp thông qua các cửa hàng ứng dụng hoặc các kênh phân phối khác.

Ứng dụng độc hại không yêu cầu các quyền đặc biệt như SEND_SMS và có thể kích hoạt khi khởi chạy hoặc thông qua tương tác của người dùng với các nút giao diện. Kịch bản tấn công mạng này hoàn toàn không yêu cầu kỹ năng kỹ thuật phức tạp hay kỹ thuật hack nâng cao.

Các Hình Thức Tấn Công Tiềm Năng

Kẻ tấn công có thể vũ khí hóa lỗ hổng CVE này để thực hiện nhiều hành vi độc hại:

• Gửi tin nhắn đến các số điện thoại tính phí cao cấp (premium-rate numbers), gây thiệt hại tài chính cho nạn nhân.
• Phân phối nội dung spam hoặc lừa đảo (phishing), mạo danh người dùng.
• Thực hiện các cuộc tấn công kỹ thuật xã hội bằng cách mạo danh người dùng.
• Hỗ trợ gian lận tài chính thông qua việc gửi tin nhắn trái phép.

Cuộc tấn công vẫn diễn ra một cách lén lút vì người dùng thường không nhận được thông báo và không thể dễ dàng phát hiện việc gửi tin nhắn trái phép. Điều này làm cho việc phát hiện trở nên cực kỳ khó khăn cho đến khi thiệt hại đáng kể xảy ra.

Mã Khai Thác và PoC (Proof-of-Concept)

Gabriele Digregorio đã chứng minh lỗ hổng CVE này bằng một mã PoC công khai. PoC này sử dụng các phương pháp lập trình Android tiêu chuẩn để kích hoạt các intent ACTION_SENDTO.

Mã PoC chỉ định số điện thoại người nhận và nội dung tin nhắn thông qua các lược đồ URI dễ bị tổn thương. Ứng dụng độc hại có thể kích hoạt các intent này tự động khi được mở hoặc khi người dùng tương tác với các nút, ô (tiles) hoặc complication trên giao diện Wear OS.

Kiểm thử đã xác nhận lỗ hổng CVE trên các thiết bị Pixel Watch 3 chạy Wear OS với Android 15.

Để xem chi tiết mã khai thác và phân tích kỹ thuật của nhà nghiên cứu, tham khảo bài viết tại towerofhanoi.it.

Khuyến Nghị Bảo Mật và Triển Khai Bản Vá Bảo Mật

Google đã được thông báo về lỗ hổng CVE này thông qua các kênh tiết lộ có trách nhiệm. Người dùng nên cập nhật Google Messages lên phiên bản mới nhất ngay khi các bản vá bảo mật được phát hành để đảm bảo an toàn thông tin.

Ngoài ra, người dùng Wear OS cần thận trọng khi cài đặt các ứng dụng và xem xét kỹ lưỡng quyền hạn của ứng dụng. Mặc dù lỗ hổng CVE đặc biệt này bỏ qua các yêu cầu cấp quyền tiêu chuẩn, việc kiểm tra quyền vẫn là một thực hành bảo mật tốt.

Đối với người dùng có ý thức bảo mật cao, hãy cân nhắc sử dụng các ứng dụng nhắn tin thay thế khi có sẵn trên thiết bị Wear OS của họ, mặc dù các lựa chọn vẫn còn hạn chế so với điện thoại Android.