- Отчет немецкой ИТ-бренда SySS GmbH указывает на то, что в модели COROS PACE 3 имеются «несколько значительных уязвимостей, позволяющих неавторизованному злоумышленнику в радиусе действия Bluetooth получить доступ к вашим данным».
- Часы PACE 3 и другие часы COROS могут быть принудительно сопряжены с другим телефоном, используя устаревшее Bluetooth соединение ‘Просто работает’.
- С доступом угонщик может просматривать ваши данные, сбросить или перенастроить ваше устройство, читать уведомления на вашем телефоне и даже отправлять вам ложные сообщения.
- Генеральный директор COROS признал, что это проблема системного уровня и они намерены начать ее решение до конца июля.
Часы Coros предлагают экономически выгодный и долговечный вариант по сравнению с фитнес брендами вроде Garmin. Однако недавнее ИТ-исследование от компании SySS GmbH выявило существенный недостаток безопасности в этих часах, на который компания Coros реагирует медленно.
"Просто покупай индекс", говорили они. "Это надежно". Здесь мы обсуждаем, почему это не всегда так, и как жить с вечно красным портфелем.
Поверить в рынокОтчет показывает, что COROS PACE 3 может недостаточно эффективно защищать Bluetooth соединение между часами и мобильным устройством. Это предполагает обход функции ‘Secure Connections’, предназначенной для более оптимизированного соединения в версии Bluetooth 4.2, которая разработана с целью улучшения безопасности.
Неавторизованное лицо может воспользоваться этой уязвимостью и вызвать непроизвольную спаривание вашего смарт-часовика с их устройством, если оно когда-либо будет отключено от вашего. Это позволит им выполнять определённые действия на вашем часах.
- Угон аккаунта VICITI на устройстве COROS и доступ ко всем данным
- Подслушивание конфиденциальных данных, например уведомлений
- Манипулирование конфигурацией устройства
- Сброс настроек устройства до заводских
- Устройство дает сбой
- Прерывание текущей активности и потеря записанных данных
Аккаунт COROS может отображать информацию о привычных стартовых точках ваших пробежек и данные для входа в систему. Однако возможность доступа к уведомлениям вызывает серьёзные опасения, поскольку позволяет им прослушивать каждое уведомление, полученное вашим синхронизированным телефоном. Более того, они могут создавать ложные уведомления, которые появляются на вашем наручных часах с помощью скрипта Python.
Незаконно вторгаясь на гоночное мероприятие, злоумышленник может дистанционно сбросить все настройки часов COROS в радиусе действия и оставить жертв без понятия о том, кто стоит за этой акцией.
Стоит отметить, что согласно отчету SySS GmbH, подключенные телефоны на Android предоставляют более простой путь для несанкционированного доступа по сравнению с устройствами iOS. Хотя устройства iOS также подвержены атакам, при сопряжении у устройств Android пропускается шаг ‘AuthReq’, что означает, что их соединения не шифруются и не аутентифицируются по умолчанию.
Как свидетель, могу сказать так: «Я заметил, что если угонщик находится в радиусе действия Bluetooth от Android-устройства с приложением COROS, он может легко использовать любые активные соединения Bluetooth Low Energy (BLE) между телефоном и часами. Это позволяет ему перехватывать, мониторить или манипулировать потоком данных, делая атаки более возможными и сложными для обнаружения.»
Как компания COROS реагирует на угрозу безопасности
На основе отчета DC Rainmaker компания SySS GmbH сообщила об уязвимостях в COROS еще 14 марта 2025 года. После этого они предоставили дополнительные детали и запросили ответ от COROS. Спустя некоторое время, 15 апреля, COROS ответили, заявив о намерении устранить уязвимость с помощью исправления, запланированного на конец текущего года (2025).
После получения дополнительной информации от Maker Льюис Ву, генеральный директор COROS, объяснил, что хотя отчет в основном касался модели PACCE 3, основная система Bluetooth является общей для большинства их устройств. Это означает, что выявленные уязвимости актуальны для широкого спектра продуктов COROS, включая велокомпьютер COROS DUCA и все новые модели часов, такие как PACCE Pro.
Ву также затронул кажущуюся недостаточность срочности в решении этих ключевых вопросов:
Получив уведомление, мы незамедлительно приступили к решению возникших проблем. Однако важно признать, что срочность должна была быть классифицирована выше. Этот опыт служит ценным уроком для COROS в приоритезации вопросов безопасности. К сожалению, наш ответ лицу, поднявшему эти проблемы, был недостаточно подробным и включал лишь расплывчатые сроки ‘до конца 2025 года’. Было бы предпочтительнее использовать более конкретный и детализированный подход вместо общих терминов. Будьте уверены, что данные вопросы будут решены значительно раньше конца текущего года.
Согласно отчету Ву, к концу июля COROS планирует устранить четыре проблемы, связанные с сопряжением через Bluetooth. После этого они собираются решить проблемы шифрования связи с устройством до конца августа. В этом процессе каждое устройство COROS будет обновляться индивидуально.
Как аналитик, я не могу не оценить важность регулярных ежемесячных обновлений безопасности на устройствах Android и Apple Watch. Эти обновления оперативно устраняют возникающие уязвимости, предоставляя уровень защиты, с которым меньшим брендам в сфере фитнеса может быть сложно сравниться. Из-за ограниченных ресурсов, контроля качества или возможно более низкого уровня проверки эти малые бренды могут испытывать трудности в поддержании тех же строгих мер безопасности, которые внедряют технологические гиганты вроде Apple и Google.
Приятно видеть, что КОРРОС значительно ускоряет процесс решения проблемы, хотя мы не можем удержаться от выражения надежды на то, чтобы они более оперативно приступили к защите данных клиентов с самого начала.
Смотрите также
- Лучшие телефоны для людей, чувствительных к ШИМ/мерцанию, 2024 г.
- 10 лучших чехлов, которые обязательно нужно иметь для вашего нового Samsung Galaxy S25 Ultra!
- Лучшие телефоны Android для студентов 2024 года
- Первые 11 вещей, которые нужно сделать с Samsung Galaxy Watch Ultra
- Пак Сон Хун случайно поделился обложкой обнаженного видео для взрослых на тему «Squid Game», удалил его и извинился
- Лучшие фильмы десятилетия в формате Dolby Atmos (на данный момент) для проверки вашего домашнего кинотеатра
- Подойдет ли Samsung Galaxy S25 к чехлам Galaxy S24?
- Лучшие Android-смартфоны с поддержкой eSIM 2025 года
- Вот как работает новый инструмент ZIP от Google Files (разбор APK)
- Два носимых устройства лучше одного, согласно последнему запуску Amazfit.
2025-07-02 00:23