Beiträge in diesem Abschnitt

Bluetooth-Sicherheitslücken-Erklärung

Joey T.
Aktualisiert

Bluetooth-Sicherheitsrisiko – Was du wissen musst

Ein mögliches Risiko wurde entdeckt, wie sich COROS-Geräte und die COROS-App über Bluetooth verbinden, speziell bevor das Koppeln abgeschlossen ist. Dieses Problem ist jetzt behoben. Aktualisiere dein COROS-Gerät auf die neueste Firmware, um die Sicherheitsverbesserungen zu erhalten.

Alle Details zum Bericht über die Sicherheitslücke von SySS Tech Blog findest du hier.

Was ist das Problem?

Bevor dein COROS-Gerät vollständig mit der COROS-App gekoppelt ist, könnte ein Angreifer in der Nähe (innerhalb der Bluetooth-Reichweite – typischerweise 10 Meter oder 30 Fuß) versuchen, die Verbindung mit einem gefälschten Gerät abzufangen. Theoretisch könnte dieses „Zwischengerät“ Teile der Bluetooth-Kommunikation abgreifen oder weiterleiten. Sobald das Koppeln abgeschlossen ist, ist das Risiko deutlich geringer – aber nicht komplett ausgeschlossen: 

  • iOS-Geräte profitieren von integrierter Bluetooth-Verschlüsselung, die einen starken Schutz bietet. In extrem seltenen Fällen kann es aber trotzdem Schwachstellen geben, wenn das Gerät getrennt ist und ein Angreifer mit speziellen Tools in der Nähe ist.
  • Android-Geräte haben ein etwas höheres Risiko in Ausnahmefällen – zum Beispiel, wenn die Uhr vom Handy getrennt ist und ein Angreifer mit Spezialausrüstung in Reichweite ist. In solchen Situationen könnten gefälschte Benachrichtigungen gesendet, Nachrichten abgefangen oder ein Reset ausgelöst werden.

Updates

Update vom 17. Juli ✅ 

Produkte:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Sicherheitsfixes:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Beschreibung:

  • Verbessert die Bluetooth-Verbindungssicherheit auf Android-Geräten

Update vom 28. Juli ✅ 

Produkte:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Sicherheitsfixes:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Beschreibung:

  • Fügt digitale Signaturprüfung für Steuerbefehle hinzu

  • Verhindert, dass nicht autorisierte Apps oder Geräte Steuerbefehle an deine Uhr senden

Update vom 20. August ✅ 

Produkte:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Sicherheitsfixes:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Beschreibung:

  • Verbesserter Bluetooth-Link-Schutz für Android

  • Fügt Signaturprüfung für Steuerbefehle hinzu

Update Mitte September ✅

Produkte:
APEX 42mm, APEX 46mm

Sicherheitsfixes:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Beschreibung:

  • Verbesserte Bluetooth-Sicherheit für Android

  • Fügt Signaturprüfung hinzu, um nicht autorisierte Bluetooth-Steuerbefehle zu verhindern

Vorübergehende Empfehlung

Wir glauben, dass diese Risiken im Alltag für Nutzer unwahrscheinlich sind, aber wenn du ganz sicher gehen willst, hier ein paar Tipps:

  1. Wenn du ein neues COROS-Gerät hast, verbinde es am besten zu Hause oder in einer nicht-öffentlichen Umgebung mit der COROS-App.
  2. Wenn du Android nutzt, beende die COROS-App einfach komplett, wenn du sie nicht brauchst. So werden Benachrichtigungen in seltenen Angriffsszenarien nicht an die Uhr weitergeleitet.
    1. Wenn die COROS-App beendet oder zwangsweise geschlossen wird, versucht dein Handy nicht mehr, mit deinem COROS-Gerät zu kommunizieren – so hat ein Hacker-Gerät keine Chance.

Was wir dagegen tun

Seit September 2025 ist das Problem behoben. Aktualisiere dein COROS-Gerät auf die neueste Firmware, um die Sicherheitsverbesserungen zu erhalten.
  • Mitte Juli: Interne Tests einer Firmware-Lösung, die dieses Risiko verhindert.
  • Ende Juli: Öffentliche Veröffentlichung des Fixes für folgende Geräte:
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Weitere Geräte folgen kurz danach:
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

Deine Sicherheit steht für uns an erster Stelle und wir arbeiten schnell daran, das Problem zu lösen und dir weiterhin ein reibungsloses Erlebnis zu bieten.

 

Vollständige Liste der CVE-Details:

CVE-2025-32875

Problem: Unzureichende Authentifizierung beim Bluetooth-Koppeln könnte es nicht autorisierten Geräten erlauben, während der Ersteinrichtung eine Verbindung herzustellen.

CVE-2025-32876

Problem: Schwachstelle im Verschlüsselungsprozess während des Bluetooth-Handshakes in bestimmten Android-Umgebungen.

CVE-2025-32877

Problem: In bestimmten Szenarien könnte ein Gerät in der Nähe die Bluetooth-Kommunikation stören, wenn Signaturprüfungen umgangen werden.

CVE-2025-32878

Problem: Möglichkeit, dass nicht verifizierte Steuerbefehle von nicht autorisierten Apps oder Geräten gesendet werden.

CVE-2025-32879

Problem: Bestimmte Steuer-Interfaces, die über Bluetooth verfügbar sind, könnten ohne korrekte Sitzungsvalidierung angesprochen werden.

CVE-2025-32880

Problem: Eine Schwachstelle bei der Firmware-Übertragung über Bluetooth, die eine Manipulation des Geräts ermöglichen könnte.

CVE-2025-48705 & CVE-2025-48706

Problem: Möglichkeit, dass Steuerbefehle über Bluetooth auf bestimmten Android-Versionen Authentifizierungsprüfungen umgehen können.

Weitere Informationen

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm haben keine WLAN-Funktion und benötigen keine Verarbeitung.
 
War dieser Beitrag hilfreich?
50 von 65 fanden dies hilfreich