Lo que necesita para conocer el informe de SYSS GMBH, una marca de TI alemana, indica que el Coros Pace 3 tiene «varias vulnerabilidades significativas que permiten un atacante no autenticado dentro del rango Bluetooth Bluetooth» para acceder a sus datos. dispositivo, lea las notificaciones de su teléfono o incluso le envíe mensajes falsos. El CEO de Coros ha reconocido que este es un «problema a nivel de sistema» y que tienen la intención de comenzar a abordarlos antes de finales de julio. Los relojes de Coros son una alternativa popular a las marcas de fitness como Garmin, con precios asequibles y duración de la batería larga. Pero una exposición de TI de SYSS GMBH ha revelado una importante vulnerabilidad de seguridad, y Coros ha tardado en reconocerlo y abordarlo. Según el informe, la Coros PACE 3 no autentica o cifra correctamente la conexión de Bluetooth entre su reloj y teléfono, sin pasar por la herramienta de «Conexiones seguras» en BlueTooth 4.2 para una conexión más simple. Si se desconecta de su teléfono en cualquier momento, permitiéndoles realizar estas acciones: puede que le guste «secuestrar la cuenta Coros de Vicitim y acceder a todos los datos confidenciales de DataSaveSdropping, por ejemplo, notificaciones que manipulan la configuración del dispositivo. detalles. Pero el acceso a la notificación parece particularmente aterrador, ya que pueden «escuchar» en cada notificación que recibe su teléfono conectado. Incluso pueden «inyectar» notificaciones falsas en su reloj utilizando un guión de Python. El atacante también podría ir a un evento de carrera y retrasar la fábrica cada reloj de Coros en el área de forma remota, sin que las víctimas puedan determinar quién lo está haciendo. Interracionalmente, el informe SYSS GMBH señala que el acceso de los secuestradores es más fácil con los teléfonos Android conectados. iOS encripta la conexión Bluetooth a nivel del sistema, pero con Android, el reloj omite el paso «Authreq» y simplemente los pares, por lo que la conexión «no está encriptada ni autenticada» de forma predeterminada. Todo lo que un secuestrador debe hacer es «esperar a que un teléfono Android con la aplicación Coros instalada para entrar en el rango de bluetooth». Después de eso, «cualquier conexión BLE continua entre un teléfono Android y el reloj puede ser interceptado, olfateado o manipulado, haciendo ataques mucho más prácticos y más difíciles de detectar.» Obtenga las últimas noticias de Android Central, su compañero de confianza en el mundo de AndroidUpdate: un representante de la compañía compartió la declaración de seguridad de la compañía. La aplicación Coros cuando no está en uso, que «evita que las notificaciones se pasen al reloj en raros escenarios de ataque». También le recomiendan que configure un nuevo dispositivo Coros «en un entorno no público». «Cómo Coros está abordando el riesgo de seguridad (crédito de imagen: Michael Hicks / Android Central) Según DC Rainmaker, SYSS GMBH informó estas vulnerabilidades a Coros a partir del 14 de marzo de 2025. Continuó proporcionando más información y solicitando a Coros para una respuesta; Finalmente, el 15 de abril, Coros respondió que su «solución para la vulnerabilidad está planificada para fin de año (2025).» Maker siguió a Coros a fines de junio, y su CEO, Lewis Wu, aclaró que mientras el informe se centró en el ritmo 3, la «pila de Bluetooth se comparte en gran medida en nuestros relojes, por lo que estas vulnerabilidades se aplican en la mayoría de los dispositivos de Coros» «. Esto incluye la computadora de la bicicleta Coros Dura y todos los modelos de relojes recientes como el Pace Pro.wu también abordaron la aparente falta de urgencia a estos problemas principales: cuando nos notificaron, comenzamos a trabajar en los problemas, pero tengo que admitir que la prioridad debería haber sido mayor. Es un aprendizaje para Coros para priorizar los problemas relacionados con la seguridad. Habíamos respondido a la persona que informó estas preocupaciones con una respuesta demasiado simplificada de «antes de finales de 2025», pero debería haber sido más específica en la línea de tiempo con cada elemento en lugar de hablar en términos amplios y declarar que se solucionarán mucho antes del final de este año. Acordes. Comunicación al dispositivo «Antes de finales de agosto, actualizar cada dispositivo Coros» uno por uno «. Actualizaciones de seguridad mensuales, resolviendo cualquier problema de inmediato.
Deja una respuesta