ПРЕДУПРЕЖДЕНИЕ! Этот недостаток в Сообщениях Google позволяет злоумышленнику отправлять SMS-сообщения без вашего ведома | #

На первый взгляд это звучит глупо. Как ваши часы могут сами написать кому-нибудь сообщение? Но до недавнего времени именно это и можно было сделать по ошибке. в приложении Google Сообщения на часах с Wear OS. И хотя это исправлено, многие пользователи даже не знают об этом, поэтому их устройства по-прежнему могут быть открытыми и уязвимыми для атак. На проблему обратили внимание эксперты по безопасности из Towerofhanoi.it.

Как общая функция стала проблемой безопасности

В системе Android приложения общаются друг с другом используя так называемые намерения, небольшие сообщения, которые они говорят другому приложению, что делать. Например, при нажатии на номер телефона одно приложение отправляет другому намерение с инструкцией «позвонить по этому номеру». Или, когда кто-то хочет открыть ваше приложение для обмена сообщениями, он использует намерение с действием «отправить сообщение».

Подпишитесь на Vosveteit.sk через Telegram и подпишитесь на получение новостей

Но Google News на часах допустил одну фундаментальную ошибку, слишком полагался на эти инструкции.. Любое приложение могло отправить такую «бумагу» (намерение) с текстом сообщения и номером получателя, а «Сообщения» просто отправляли ее. Ни подтверждения, ни уведомления, ничего. Достаточно было установить на часы приложение, которое могло бы отправлять такие намерения.

Хакерские СМС-сообщения обманным путем СМС-сообщения — Источник: ThomasDeco/Shutterstock.com и fongbeerredhot/Shutterstock.com, коллаж Vosveteit.sk

Никаких разрешений, никаких вопросов, просто отправил сообщения

Самое страшное то, что злоумышленнику не потребовалось никаких специальных разрешений. Ему не обязательно было иметь доступ к СМС-сообщениям, ему не нужно было спрашивать у вас согласия на их отправку. Достаточно было, чтобы на ваших часах работало приложение, запускающее такую команду в нужный момент. Затем часы безмолвно отправили сообщение, как если бы вы написали его сами.

На практике это означает, что может возникнуть целая волна атак, в ходе которых злоумышленники будут отправлять сообщения с иностранных аккаунтов через фейковые приложения. Эти сообщения выглядели бы правдоподобно, потому что они пришли прямо с вашего номера.. Они могут содержать фишинговые ссылки, запросы кодов или даже сообщения на вышестоящие номера, которые незаметно снимут деньги с вашего кредита.

Не упускайте из виду

Как добавить виджет с последними новостями с сайтов на главный экран телефона?

Тихий диспетчер, работающий за вашей спиной

Эта ошибка является ярким примером так называемой «запутанной депутатской» проблемы, т.е. ситуации, когда приложение выполняет привилегированное действие от имени другого, менее доверенного приложения. Другими словами, систему обманом заставили сделать что-то, чего она не должна делать, только потому, что кто-то знал, как ее обмануть.

Исследователь, обнаруживший ошибку, также подготовил публичное доказательство концепции. В нем он продемонстрировал, что приложение на часах может легко отправить SMS-сообщение, используя всего несколько строк кода.. Никакого взлома, никаких сложных трюков, просто эксплуатация плохо настроенной системы.

Уязвимость в Google Messages для Wear OS, приводившая к попытке отправки сообщений без разрешения (CVE-2025-12080), обнаруженная @Я не__ и получил от Google награду в размере 2250 долларов США.
Блог: https://t.co/YlpilfkxyY
PoC: https://t.co/4NGHF3w7cI pic.twitter.com/fWVnvrOICN

— Мобильный хакер (@androidmalware2) 27 октября 2025 г.

Если вы используете часы с Wear OS и на них установлено приложение Google Messages, эта уязвимость напрямую затронула вас.. И если вы давно их не обновляли, возможно, это все еще применимо к вам. Потому что ошибку исправили только более поздним обновлением, которое постепенно распространилось на все устройства.

К счастью, решение простое. Просто обновите систему и Новости до последней версии. Вот и все. После установки обновления система теперь корректно требует подтверждения перед отправкой сообщения и атака больше невозможна.

Как защититься от подобных угроз

Помимо обновлений, вам следует регулярно проверять, какие приложения установлены на ваших часах. Если вы его не используете или он выглядит подозрительно, просто удалите его. Будьте осторожны с тем, что вы загружаете: даже на ваших часах могут быть приложения, которые выглядят невинно, но в фоновом режиме делают что-то совершенно другое.

Подобные недостатки безопасности служат напоминанием о том, что даже небольшие устройства, которые мы носим на запястьях, на самом деле являются маленькими компьютерами. И ими можно злоупотреблять так же, как мобильным телефоном или компьютером. Если вы не хотите, чтобы кто-то другой писал сообщения от вашего имени, не оставляйте часы без обновлений.