Artigos nessa seção

Declaração sobre Vulnerabilidade de Segurança no Bluetooth

Joey T.
Atualizado

Risco de Segurança Bluetooth – O Que Você Precisa Saber

Um risco potencial foi identificado na forma como os dispositivos COROS e o app COROS se conectam via Bluetooth, especificamente antes da conclusão do pareamento. Este problema já foi resolvido. Atualize seu dispositivo COROS para o firmware mais recente para aplicar as melhorias de segurança.

Detalhes completos do relatório de vulnerabilidade de segurança da SySS Tech Blog estão aqui.

Qual é o problema?

Antes que seu dispositivo COROS esteja totalmente pareado com o app COROS, um invasor próximo (dentro do alcance do Bluetooth—tipicamente 10 metros ou 30 pés) poderia tentar interceptar a conexão usando um dispositivo falso. Em teoria, esse “dispositivo intermediário” poderia acessar ou retransmitir partes da comunicação Bluetooth. Após a conclusão do pareamento, o risco é significativamente reduzido—mas não totalmente eliminado: 

  • Dispositivos iOS contam com criptografia Bluetooth integrada, que adiciona uma forte camada de proteção. No entanto, em casos extremamente raros, ainda podem existir vulnerabilidades se o dispositivo for desconectado e alvo de um invasor próximo usando ferramentas avançadas.
  • Dispositivos Android enfrentam um risco um pouco maior em situações específicas—como quando o relógio está desconectado do celular e um invasor com equipamento especializado está por perto. Nessas situações, pode ser possível enviar notificações falsas, interceptar mensagens ou tentar acionar um reset.

Atualizações

Atualização de 17 de Julho ✅ 

Produtos:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correções de Segurança:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Descrição:

  • Reforça a segurança da conexão Bluetooth em dispositivos Android

Atualização de 28 de Julho ✅ 

Produtos:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Correções de Segurança:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Descrição:

  • Adiciona verificação de assinatura digital para comandos de controle

  • Impede que apps ou dispositivos não autorizados enviem comandos de controle para seu relógio

Atualização de 20 de Agosto ✅ 

Produtos:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Correções de Segurança:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Descrição:

  • Proteção aprimorada do link Bluetooth para Android

  • Adiciona verificação de assinatura para comandos de controle

Atualização de meados de setembro ✅

Produtos:
APEX 42mm, APEX 46mm

Correções de Segurança:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Descrição:

  • Segurança Bluetooth aprimorada para Android

  • Adiciona verificação de assinatura para impedir comandos de controle Bluetooth não autorizados

Recomendação Temporária

Acreditamos que esses riscos são improváveis para usuários no dia a dia, mas se você quiser garantir proteção contra esses cenários, aqui estão algumas recomendações:

  1. Se você tem um novo dispositivo COROS, conecte-o ao app COROS em casa ou em um ambiente não público.
  2. Se você usa Android, simplesmente force o encerramento do app COROS quando não estiver em uso. Isso impede que notificações sejam enviadas ao relógio em cenários raros de ataque.
    1. Quando o app COROS é encerrado ou forçado a fechar, seu celular não tentará mais se comunicar com o dispositivo COROS, então qualquer dispositivo de ataque não terá sucesso.

O Que Estamos Fazendo Sobre Isso

A partir de setembro de 2025, o problema já foi resolvido. Atualize seu dispositivo COROS para o firmware mais recente para aplicar as melhorias de segurança.
  • Meados de julho: Testes internos de uma correção de firmware que previne esse risco.
  • Final de julho: Lançamento público completo da correção para os seguintes dispositivos:
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Outros dispositivos receberão a atualização em breve:
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

Sua segurança é nossa prioridade, e estamos agindo rapidamente para resolver isso enquanto mantemos sua experiência o mais fluida possível.

 

Lista Completa de Detalhes CVE:

CVE-2025-32875

Problema: Autenticação insuficiente durante o pareamento Bluetooth poderia permitir que dispositivos não autorizados iniciassem uma conexão durante a configuração inicial.

CVE-2025-32876

Problema: Fragilidade no processo de criptografia usado durante o handshake Bluetooth em certos ambientes Android.

CVE-2025-32877

Problema: Em cenários específicos, um dispositivo próximo poderia interferir nas comunicações Bluetooth se as verificações de assinatura fossem burladas.

CVE-2025-32878

Problema: Potencial para comandos de controle não verificados serem enviados por apps ou dispositivos não autorizados.

CVE-2025-32879

Problema: Certas interfaces de controle expostas via Bluetooth poderiam ser acessadas sem validação adequada da sessão.

CVE-2025-32880

Problema: Uma vulnerabilidade durante a transmissão de firmware via Bluetooth que poderia permitir a manipulação do dispositivo.

CVE-2025-48705 & CVE-2025-48706

Problema: Potencial para comandos de controle enviados via Bluetooth burlarem verificações de autenticação em certas versões do Android.

Informações Adicionais

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm não possuem capacidade Wi-Fi e não requerem processamento.
 
Esse artigo foi útil?
Usuários que acharam isso útil: 50 de 65