Статьи в этом разделе

Заявление о выявленной уязвимости в безопасности Bluetooth

Joey T.
Обновлено

Риск безопасности Bluetooth – что нужно знать

Был выявлен потенциальный риск в том, как устройства COROS и приложение COROS подключаются по Bluetooth, особенно до завершения сопряжения. Эта проблема уже решена. Обновите ваше устройство COROS до последней версии прошивки, чтобы применить улучшения безопасности.

Полные детали отчёта об уязвимости доступны на техноблоге SySS здесь.

В чём проблема?

До того как ваше устройство COROS полностью сопряжено с приложением COROS, находящийся рядом злоумышленник (в пределах действия Bluetooth — обычно 10 метров или 30 футов) может попытаться перехватить соединение, используя поддельное устройство. Теоретически такое «промежуточное устройство» может получить доступ или передавать часть Bluetooth-коммуникации. После завершения сопряжения риск значительно снижается, но не устраняется полностью: 

  • Устройства iOS защищены встроенным шифрованием Bluetooth, что обеспечивает высокий уровень защиты. Однако в крайне редких случаях могут сохраняться уязвимости, если устройство отключено и подвергается атаке с помощью специальных инструментов.
  • Устройства Android имеют немного больший риск в отдельных случаях — например, когда часы отключены от телефона, а злоумышленник с профессиональным оборудованием находится рядом. В таких ситуациях возможно отправить поддельные уведомления, перехватить сообщения или попытаться инициировать сброс.

Обновления

Обновление 17 июля ✅ 

Продукты:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Исправления безопасности:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

Описание:

  • Усилена безопасность Bluetooth-соединения на устройствах Android

Обновление 28 июля ✅ 

Продукты:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

Исправления безопасности:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Описание:

  • Добавлена проверка цифровой подписи для управляющих команд

  • Предотвращает отправку управляющих команд на ваши часы неавторизованными приложениями или устройствами

Обновление 20 августа ✅ 

Продукты:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

Исправления безопасности:

  • CVE-2025-32875

  • CVE-2025-32876

  • CVE-2025-32877

  • CVE-2025-32879

Описание:

  • Улучшена защита Bluetooth-соединения для Android

  • Добавлена проверка подписи для управляющих команд

Обновление середины сентября ✅

Продукты:
APEX 42mm, APEX 46mm

Исправления безопасности:

  • CVE-2025-48705

  • CVE-2025-48706

  • CVE-2025-32878

  • CVE-2025-32879

  • CVE-2025-32880

Описание:

  • Усилена безопасность Bluetooth для Android

  • Добавлена проверка подписи для предотвращения неавторизованных управляющих команд по Bluetooth

Временные рекомендации

Мы считаем, что эти риски маловероятны для пользователей в повседневной жизни, но если вы хотите быть уверены в защите от подобных сценариев, вот несколько советов:

  1. Если у вас новое устройство COROS, подключайте его к приложению COROS дома или в непубличном месте.
  2. Если вы используете Android, просто принудительно закройте приложение COROS, когда оно не используется. Это предотвратит передачу уведомлений на часы в редких случаях атаки.
    1. Когда приложение COROS закрыто или принудительно завершено, ваш телефон больше не будет пытаться связаться с устройством COROS, поэтому любое хакерское устройство не сможет получить доступ.

Что мы делаем

На сентябрь 2025 года проблема решена. Обновите ваше устройство COROS до последней версии прошивки, чтобы применить улучшения безопасности.
  • Середина июля: Внутреннее тестирование прошивки, устраняющей этот риск.
  • Конец июля: Публичный релиз исправления для следующих устройств:
    • PACE 3, PACE Pro
    • APEX 2, APEX 2 Pro
    • VERTIX 2, VERTIX 2S
    • DURA
  • Другие устройства получат обновление чуть позже:
    • PACE 2
    • APEX 42mm, APEX 46mm, APEX Pro
    • VERTIX 1

Ваша безопасность — наш приоритет, и мы быстро решаем эту проблему, чтобы ваш опыт использования оставался максимально комфортным.

 

Полный список CVE:

CVE-2025-32875

Проблема: Недостаточная аутентификация при Bluetooth-сопряжении может позволить неавторизованным устройствам инициировать соединение во время начальной настройки.

CVE-2025-32876

Проблема: Слабость процесса шифрования, используемого при Bluetooth-рукопожатии в некоторых средах Android.

CVE-2025-32877

Проблема: В определённых сценариях находящееся рядом устройство может вмешиваться в Bluetooth-коммуникации, если проверки подписи были обойдены.

CVE-2025-32878

Проблема: Возможность отправки непроверенных управляющих команд с неавторизованных приложений или устройств.

CVE-2025-32879

Проблема: Некоторые управляющие интерфейсы, доступные через Bluetooth, могли быть доступны без должной проверки сессии.

CVE-2025-32880

Проблема: Уязвимость при передаче прошивки по Bluetooth, которая потенциально могла позволить вмешательство в работу устройства.

CVE-2025-48705 & CVE-2025-48706

Проблема: Возможность отправки управляющих команд по Bluetooth с обходом проверки аутентификации на некоторых версиях Android.

Дополнительная информация

CVE-2025-32878, CVE-2025-32880 

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm не имеют Wi-Fi и не требуют обработки.
 
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 50 из 65