Articoli in questa sezione

Dichiarazione sulla vulnerabilità di sicurezza Bluetooth

Joey T.
Aggiornato

Rischio di Sicurezza Bluetooth – Cosa Devi Sapere

È stato identificato un potenziale rischio nel modo in cui i dispositivi COROS e l'app COROS si connettono tramite Bluetooth, in particolare prima che il pairing sia completato. Questo problema è ora risolto. Aggiorna il tuo dispositivo COROS all'ultimo firmware per applicare i miglioramenti di sicurezza.

Puoi trovare tutti i dettagli del report sulla vulnerabilità di sicurezza dal SySS Tech Blog qui.

Qual è il problema?

Prima che il tuo dispositivo COROS sia completamente associato all'app COROS, un attaccante nelle vicinanze (entro il raggio Bluetooth—tipicamente 10 metri o 30 piedi) potrebbe tentare di intercettare la connessione usando un dispositivo contraffatto. In teoria, questo “dispositivo intermedio” potrebbe accedere o inoltrare parti della comunicazione Bluetooth. Una volta completato il pairing, il rischio si riduce notevolmente—ma non viene completamente eliminato: 

  • I dispositivi iOS beneficiano della crittografia Bluetooth integrata, che aggiunge un forte livello di protezione. Tuttavia, in casi estremamente rari, potrebbero esserci ancora vulnerabilità se il dispositivo viene disconnesso e preso di mira da un attaccante nelle vicinanze che utilizza strumenti avanzati.
  • I dispositivi Android affrontano un rischio leggermente maggiore in casi limite—come quando l'orologio è disconnesso dal telefono e un attaccante con attrezzature specializzate si trova nel raggio d'azione. In queste situazioni, potrebbe essere possibile inviare notifiche false, intercettare messaggi o tentare un reset.

Aggiornamenti

Aggiornamento 17 luglio ✅ 

Prodotti:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correzioni di Sicurezza:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Descrizione:

  • Rafforza la sicurezza della connessione Bluetooth sui dispositivi Android

Aggiornamento 28 luglio ✅ 

Prodotti:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correzioni di Sicurezza:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Descrizione:

  • Aggiunge la verifica della firma digitale per i comandi di controllo

  • Impedisce ad app o dispositivi non autorizzati di inviare comandi di controllo al tuo orologio

Aggiornamento 20 agosto ✅ 

Prodotti:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Correzioni di Sicurezza:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Descrizione:

  • Protezione del collegamento Bluetooth migliorata per Android

  • Aggiunge la verifica della firma per i comandi di controllo

Aggiornamento metà settembre ✅

Prodotti:
APEX 42mm, APEX 46mm

Correzioni di Sicurezza:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Descrizione:

  • Sicurezza Bluetooth migliorata per Android

  • Aggiunge la verifica della firma per impedire comandi di controllo Bluetooth non autorizzati

Raccomandazione Temporanea

Crediamo che questi rischi siano improbabili per gli utenti nella vita quotidiana, ma se vuoi essere sicuro di proteggerti da questi scenari, ecco alcune raccomandazioni:

  1. Se hai un nuovo dispositivo COROS, collega il tuo dispositivo all'app COROS a casa o in un ambiente non pubblico.
  2. Se usi Android, chiudi forzatamente l'app COROS quando non la usi. Questo impedisce che le notifiche vengano inviate all'orologio in rari scenari di attacco.
    1. Quando l'app COROS viene chiusa o terminata forzatamente, il tuo telefono non tenterà più di comunicare con il tuo dispositivo COROS, quindi qualsiasi dispositivo di hacking non avrà successo.

Cosa Stiamo Facendo

A settembre 2025, il problema è ora risolto. Aggiorna il tuo dispositivo COROS all'ultimo firmware per applicare i miglioramenti di sicurezza.
  • Metà luglio: Test interni di una correzione firmware che previene questo rischio.
  • Fine luglio: Rilascio pubblico completo della correzione per i seguenti dispositivi:
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Altri dispositivi seguiranno a breve:
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

La tua sicurezza è la nostra priorità, e ci stiamo muovendo rapidamente per risolvere questo problema mantenendo la tua esperienza il più fluida possibile.

 

Elenco Completo dei Dettagli CVE:

CVE-2025-32875

Problema: Autenticazione insufficiente durante l'associazione Bluetooth (pairing) potrebbe consentire a dispositivi non autorizzati di avviare una connessione durante la configurazione iniziale.

CVE-2025-32876

Problema: Debolezza nel processo di crittografia utilizzato durante le strette di mano Bluetooth in determinati ambienti Android.

CVE-2025-32877

Problema: In scenari specifici, un dispositivo nelle vicinanze potrebbe interferire con le comunicazioni Bluetooth se i controlli della firma venissero bypassati.

CVE-2025-32878

Problema: Possibilità che comandi di controllo non verificati vengano inviati da app o dispositivi non autorizzati.

CVE-2025-32879

Problema: Alcune interfacce di controllo esposte tramite Bluetooth potrebbero essere accessibili senza una corretta validazione della sessione.

CVE-2025-32880

Problema: Una vulnerabilità durante la trasmissione del firmware tramite Bluetooth che potrebbe potenzialmente consentire la manipolazione del dispositivo.

CVE-2025-48705 & CVE-2025-48706

Problema: Possibilità che comandi di controllo inviati tramite Bluetooth bypassino i controlli di autenticazione su alcune versioni Android.

Informazioni Aggiuntive

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm non hanno la funzionalità Wi-Fi e non richiedono elaborazione.
 
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 50 su 65