แถลงการณ์เกี่ยวกับช่องโหว่ด้านความปลอดภัยของ Bluetooth

Joey T.

ปรับปรุงเมื่อ 05 มีนาคม, 2026 03:09

ความเสี่ยงด้านความปลอดภัยของ Bluetooth – สิ่งที่คุณควรรู้

มีการระบุความเสี่ยงที่อาจเกิดขึ้นเกี่ยวกับวิธีที่อุปกรณ์ COROS และแอป COROS เชื่อมต่อผ่าน Bluetooth โดยเฉพาะ ก่อน ที่การจับคู่จะเสร็จสมบูรณ์ ขณะนี้ปัญหานี้ได้รับการแก้ไขแล้ว อัปเดตอุปกรณ์ COROS ของคุณเป็นเฟิร์มแวร์ล่าสุดเพื่อรับการปรับปรุงด้านความปลอดภัย

รายละเอียดฉบับเต็มของรายงานช่องโหว่ด้านความปลอดภัยจาก SySS Tech Blog อยู่ที่นี่.

ปัญหาคืออะไร?

ก่อนที่อุปกรณ์ COROS ของคุณจะจับคู่กับแอป COROS อย่างสมบูรณ์ ผู้โจมตีที่อยู่ใกล้ (ในระยะ Bluetooth – โดยปกติ 10 เมตร หรือ 30 ฟุต) อาจพยายามดักจับการเชื่อมต่อโดยใช้อุปกรณ์ปลอม ในทางทฤษฎี “อุปกรณ์กลาง” นี้อาจเข้าถึงหรือส่งต่อบางส่วนของการสื่อสาร Bluetooth ได้ เมื่อการจับคู่เสร็จสมบูรณ์แล้ว ความเสี่ยงจะลดลงอย่างมากแต่ยังไม่หมดไปทั้งหมด:

อุปกรณ์ iOS ได้รับประโยชน์จากการเข้ารหัส Bluetooth ในตัว ซึ่งเพิ่มชั้นการป้องกันที่แข็งแกร่ง อย่างไรก็ตาม ในกรณีที่หายากมาก อาจยังมีช่องโหว่หากอุปกรณ์ถูกตัดการเชื่อมต่อและตกเป็นเป้าหมายโดยผู้โจมตีที่อยู่ใกล้โดยใช้เครื่องมือขั้นสูง
อุปกรณ์ Android มีความเสี่ยงสูงกว่าเล็กน้อยในบางกรณี เช่น เมื่อสมาร์ทวอทช์ถูกตัดการเชื่อมต่อจากโทรศัพท์และมีผู้โจมตีที่มีอุปกรณ์เฉพาะทางอยู่ในระยะ ในสถานการณ์เหล่านี้ อาจสามารถส่งการแจ้งเตือนปลอม ดักจับข้อความ หรือพยายามรีเซ็ตอุปกรณ์ได้

อัปเดต

อัปเดต 17 กรกฎาคม ✅

ผลิตภัณฑ์:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

การแก้ไขความปลอดภัย:

CVE-2025-32875
CVE-2025-32876
CVE-2025-32877

คำอธิบาย:

เสริมความปลอดภัยของการเชื่อมต่อ Bluetooth บนอุปกรณ์ Android

อัปเดต 28 กรกฎาคม ✅

ผลิตภัณฑ์:
COROS NOMAD, PACE 3, PACE Pro, COROS NOMAD, APEX 2, APEX 2 Pro, APEX 4, VERTIX 2, VERTIX 2S, DURA

การแก้ไขความปลอดภัย:

CVE-2025-48705
CVE-2025-48706
CVE-2025-32878
CVE-2025-32879
CVE-2025-32880

คำอธิบาย:

เพิ่มการตรวจสอบลายเซ็นดิจิทัลสำหรับคำสั่งควบคุม
ป้องกันแอปหรืออุปกรณ์ที่ไม่ได้รับอนุญาตไม่ให้ส่งคำสั่งควบคุมไปยังนาฬิกาของคุณ

อัปเดต 20 สิงหาคม ✅

ผลิตภัณฑ์:
PACE 2, APEX Pro, VERTIX, Decathlon GPS 500, Decathlon GPS 900

การแก้ไขความปลอดภัย:

CVE-2025-32875
CVE-2025-32876
CVE-2025-32877
CVE-2025-32879

คำอธิบาย:

เพิ่มการป้องกันการเชื่อมต่อ Bluetooth สำหรับ Android
เพิ่มการตรวจสอบลายเซ็นสำหรับคำสั่งควบคุม

อัปเดตกลางเดือนกันยายน ✅

ผลิตภัณฑ์:
APEX 42mm, APEX 46mm

การแก้ไขความปลอดภัย:

CVE-2025-48705
CVE-2025-48706
CVE-2025-32878
CVE-2025-32879
CVE-2025-32880

คำอธิบาย:

เพิ่มความปลอดภัย Bluetooth สำหรับ Android
เพิ่มการตรวจสอบลายเซ็นเพื่อป้องกันคำสั่งควบคุม Bluetooth ที่ไม่ได้รับอนุญาต

คำแนะนำชั่วคราว

เราเชื่อว่าความเสี่ยงเหล่านี้ไม่น่าจะเกิดขึ้นกับผู้ใช้ในชีวิตประจำวัน แต่หากคุณต้องการป้องกันสถานการณ์เหล่านี้อย่างแน่นอน นี่คือคำแนะนำ:

หากคุณมีอุปกรณ์ COROS ใหม่ กรุณาเชื่อมต่ออุปกรณ์ของคุณกับแอป COROS ที่บ้าน หรือในสถานที่ที่ไม่ใช่สาธารณะ
หากคุณใช้ Android ให้บังคับปิดแอป COROS เมื่อไม่ได้ใช้งาน วิธีนี้จะป้องกันไม่ให้การแจ้งเตือนถูกส่งไปยังนาฬิกาในกรณีที่ถูกโจมตีที่หายาก
1. เมื่อแอป COROS ถูกปิดหรือบังคับปิด โทรศัพท์ของคุณจะไม่พยายามสื่อสารกับอุปกรณ์ COROS อีกต่อไป ดังนั้นอุปกรณ์แฮกจะไม่สามารถโจมตีได้สำเร็จ

เราดำเนินการอย่างไรกับปัญหานี้

ณ เดือนกันยายน 2025 ปัญหานี้ได้รับการแก้ไขแล้ว อัปเดตอุปกรณ์ COROS ของคุณเป็นเฟิร์มแวร์ล่าสุดเพื่อรับการปรับปรุงด้านความปลอดภัย

กลางเดือนกรกฎาคม: ทดสอบภายในสำหรับเฟิร์มแวร์ที่แก้ไขปัญหานี้
สิ้นเดือนกรกฎาคม: ปล่อยอัปเดตสู่สาธารณะสำหรับอุปกรณ์ต่อไปนี้:
- PACE 3, PACE Pro
- APEX 2, APEX 2 Pro
- VERTIX 2, VERTIX 2S
- DURA
อุปกรณ์อื่นๆ จะตามมาในไม่ช้า:
- PACE 2
- APEX 42mm, APEX 46mm, APEX Pro
- VERTIX 1

ความปลอดภัยของคุณคือสิ่งสำคัญที่สุดสำหรับเรา และเรากำลังดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหานี้ พร้อมกับรักษาประสบการณ์การใช้งานของคุณให้ราบรื่นที่สุด

รายการรายละเอียด CVE ทั้งหมด:

CVE-2025-32875

ปัญหา: การตรวจสอบสิทธิ์ไม่เพียงพอระหว่างการจับคู่ Bluetooth อาจทำให้อุปกรณ์ที่ไม่ได้รับอนุญาตเริ่มการเชื่อมต่อระหว่างการตั้งค่าเริ่มต้นได้

CVE-2025-32876

ปัญหา: จุดอ่อนในกระบวนการเข้ารหัสที่ใช้ระหว่างการจับมือ Bluetooth ในบางสภาพแวดล้อมของ Android

CVE-2025-32877

ปัญหา: ในบางสถานการณ์ อุปกรณ์ที่อยู่ใกล้สามารถแทรกแซงการสื่อสาร Bluetooth ได้หากการตรวจสอบลายเซ็นถูกข้ามไป

CVE-2025-32878

ปัญหา: มีโอกาสที่คำสั่งควบคุมที่ไม่ได้รับการตรวจสอบจะถูกส่งจากแอปหรืออุปกรณ์ที่ไม่ได้รับอนุญาต

CVE-2025-32879

ปัญหา: อินเทอร์เฟซควบคุมบางอย่างที่เปิดเผยผ่าน Bluetooth อาจถูกเข้าถึงโดยไม่มีการตรวจสอบเซสชันที่เหมาะสม

CVE-2025-32880

ปัญหา: ช่องโหว่ระหว่างการส่งเฟิร์มแวร์ผ่าน Bluetooth ที่อาจทำให้เกิดการแก้ไขอุปกรณ์ได้

CVE-2025-48705 & CVE-2025-48706

ปัญหา: มีโอกาสที่คำสั่งควบคุมที่ส่งผ่าน Bluetooth จะข้ามการตรวจสอบสิทธิ์บน Android บางเวอร์ชันได้

ข้อมูลเพิ่มเติม

CVE-2025-32878, CVE-2025-32880

PACE 2, APEX Pro, VERTIX, Decathlon GPS500, Decathlon GPS900, APEX 42mm, APEX 46mm ไม่มีความสามารถ Wi-Fi และไม่จำเป็นต้องดำเนินการใดๆ