Uma falha descoberta no aplicativo Google Mensagens permitiu que qualquer aplicativo instalado enviasse, de forma furtiva e sem autorização do usuário, mensagens SMS, MMS ou RCS.
A vulnerabilidade de código CVE-2025-12080 foi encontrada em dispositivos que usam o Wear OS, sistema operacional dos smartwatches da Google.
Sem deixar rastros
O problema estava no intent system, que é principal mecanismo de comunicação entre aplicativos no Android, mais especificamente naqueles que usam esquemas URI como sms:, smsto:, mms:, e mmsto: no começo das mensagens.
Enquanto no sistema Android para celulares se ativa um prompt de confirmação para o usuário antes de enviar a mensagem, o do sistema operacional de wearables pula essa etapa. Isso possibilitava que qualquer aplicativo pudesse solicitar um intent do tipo ACTION_SENDTO com disparo imediato do Google Mensagens.
Como não há a necessidade de um código malicioso, ataques por meio dessa falha eram silenciosos e não deixavam rastros, podendo ser incluídos na programação de aplicativos específicos para o sistema. A exploração dessa falha permitia que golpistas pudessem enviar mensagens para contatos da vítima, se passando por ela, ou mesmo aumentando a fatura com a quantidade de SMS enviados.
A falha foi descoberta ano pela empresa io-no que, por meio do Mobile Vulnerability Reward Program, foram recompensados com $2.250. Após reconhecê-la em março, a Google implementou uma correção em maio de 2025.
Para se proteger, é importante apenas instalar aplicativos provenientes de lojas oficiais, como Play Store e App Store (para iOS). Além disso, possuir um app antivírus no seu dispositivo não fará mal algum, pelo contrário.
Quer acompanhar as novidades sobre o mundo da tecnologia? Siga o TecMundo no X, Instagram, Facebook e TikTok.