Artykuły w tej sekcji

Oświadczenie dotyczące luki w zabezpieczeniach Bluetooth

Joey T.
Zaktualizowano

Ryzyko związane z bezpieczeństwem Bluetooth – Co musisz wiedzieć

Zidentyfikowano potencjalne ryzyko dotyczące sposobu, w jaki urządzenia COROS i aplikacja COROS łączą się przez Bluetooth, szczególnie przed zakończeniem parowania. Ten problem został już rozwiązany. Zaktualizuj swoje urządzenie COROS do najnowszego oprogramowania, aby zastosować poprawki bezpieczeństwa.

Szczegółowy raport dotyczący podatności bezpieczeństwa od SySS Tech Blog znajduje się tutaj.

Na czym polega problem?

Zanim Twoje urządzenie COROS zostanie w pełni sparowane z aplikacją COROS, atakujący znajdujący się w pobliżu (w zasięgu Bluetooth — zazwyczaj 10 metrów) może próbować przechwycić połączenie, używając podrobionego urządzenia. Teoretycznie takie „pośrednie urządzenie” mogłoby uzyskać dostęp do części komunikacji Bluetooth lub ją przekazywać dalej. Po zakończeniu parowania ryzyko jest znacznie mniejsze — ale nie całkowicie wyeliminowane: 

  • Urządzenia iOS korzystają z wbudowanego szyfrowania Bluetooth, które zapewnia wysoki poziom ochrony. Jednak w bardzo rzadkich przypadkach mogą wystąpić podatności, jeśli urządzenie zostanie rozłączone i zaatakowane przez osobę w pobliżu, używającą zaawansowanych narzędzi.
  • Urządzenia z Androidem są nieco bardziej narażone w szczególnych przypadkach — na przykład gdy zegarek jest rozłączony z telefonem, a atakujący z wyspecjalizowanym sprzętem znajduje się w zasięgu. W takich sytuacjach możliwe jest wysyłanie fałszywych powiadomień, przechwytywanie wiadomości lub próba zresetowania urządzenia.

Aktualizacje

Aktualizacja z 17 lipca ✅ 

Produkty:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Poprawki bezpieczeństwa:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Opis:

  • Wzmacnia bezpieczeństwo połączenia Bluetooth na urządzeniach z Androidem

Aktualizacja z 28 lipca ✅ 

Produkty:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Poprawki bezpieczeństwa:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Opis:

  • Dodaje weryfikację podpisu cyfrowego dla poleceń sterujących

  • Zapobiega wysyłaniu poleceń sterujących do zegarka przez nieautoryzowane aplikacje lub urządzenia

Aktualizacja z 20 sierpnia ✅ 

Produkty:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Poprawki bezpieczeństwa:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Opis:

  • Zwiększona ochrona połączenia Bluetooth dla Androida

  • Dodaje weryfikację podpisu dla poleceń sterujących

Aktualizacja z połowy września ✅

Produkty:
APEX 42mm, APEX 46mm

Poprawki bezpieczeństwa:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Opis:

  • Wzmocnione bezpieczeństwo Bluetooth dla Androida

  • Dodaje weryfikację podpisu, aby zapobiec nieautoryzowanym poleceniom sterującym przez Bluetooth

Tymczasowe zalecenia

Uważamy, że te zagrożenia są mało prawdopodobne w codziennym użytkowaniu, ale jeśli chcesz mieć pewność ochrony przed tymi scenariuszami, oto kilka zaleceń:

  1. Jeśli masz nowe urządzenie COROS, połącz je z aplikacją COROS w domu lub w miejscu niepublicznym.
  2. Jeśli korzystasz z Androida, po prostu wymuś zamknięcie aplikacji COROS, gdy jej nie używasz. Zapobiega to przekazywaniu powiadomień do zegarka w rzadkich scenariuszach ataku.
    1. Gdy aplikacja COROS zostanie zamknięta lub wymuszona do zamknięcia, Twój telefon nie będzie próbował komunikować się z urządzeniem COROS, więc żadne urządzenie hakerskie nie odniesie sukcesu.

Co robimy w tej sprawie

Od września 2025 roku problem został rozwiązany. Zaktualizuj swoje urządzenie COROS do najnowszego oprogramowania, aby zastosować poprawki bezpieczeństwa.
  • Połowa lipca: Wewnętrzne testy poprawki oprogramowania, która zapobiega temu ryzyku.
  • Koniec lipca: Publiczne wydanie poprawki dla następujących urządzeń:
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Pozostałe urządzenia otrzymają poprawki wkrótce po tym:
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

Twoje bezpieczeństwo jest naszym priorytetem i działamy szybko, aby rozwiązać ten problem, dbając jednocześnie o jak najlepsze doświadczenia użytkownika.

 

Pełna lista szczegółów CVE:

CVE-2025-32875

Problem: Niewystarczająca autoryzacja podczas parowania Bluetooth mogła pozwolić nieautoryzowanym urządzeniom na nawiązanie połączenia podczas początkowej konfiguracji.

CVE-2025-32876

Problem: Słabość procesu szyfrowania używanego podczas uzgadniania Bluetooth w określonych środowiskach Androida.

CVE-2025-32877

Problem: W określonych scenariuszach pobliskie urządzenie mogło zakłócić komunikację Bluetooth, jeśli sprawdzenie podpisu zostało pominięte.

CVE-2025-32878

Problem: Możliwość wysyłania niezweryfikowanych poleceń sterujących z nieautoryzowanych aplikacji lub urządzeń.

CVE-2025-32879

Problem: Niektóre interfejsy sterujące udostępnione przez Bluetooth mogły być dostępne bez odpowiedniej weryfikacji sesji.

CVE-2025-32880

Problem: Luka podczas przesyłania oprogramowania przez Bluetooth, która mogła potencjalnie umożliwić manipulację urządzeniem.

CVE-2025-48705 & CVE-2025-48706

Problem: Możliwość ominięcia kontroli autoryzacji dla poleceń sterujących przesyłanych przez Bluetooth w niektórych wersjach Androida.

Dodatkowe informacje

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm nie mają funkcji Wi-Fi i nie wymagają przetwarzania.
 
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 50 z 65