Et tysk it -sikkerhedsfirma har offentliggjort en liste over 8 forskellige sikkerhedsfejl, der findes i alle Coros -ure, der giver i det væsentlige fuld adgang til ikke kun brugerne Watch, men også deres Coros -konto. Dette inkluderer alt fra at afbryde en træning (under træningen), til at nulstille enheden eksternt, samt adgang til/downloade alle dine Coros.com -data.
Listen over sikkerhedsspørgsmål blev oprindeligt opført til kun Coros Pace 3 -ur, men jeg har bekræftet med Coros, at det faktisk påvirker alle Coros -enheder, da alle Coros ser (+ cykelcomputer) Brug den samme Bluetooth -forbindelseskode mellem uret og telefonen, hvor problemet ligger.
Virksomheden skitserede problemerne i deres indlæg, som konsoliderer det ned til seks kernehuller (som en del af 8 specifikke sikkerhedsfejl):
– kapring af Vicitims Coros -konto og adgang til alle data
– aflytning af følsomme data, f.eks. Meddelelser
– Manipulering af enhedskonfigurationen
– Fabriks nulstilling af enheden
– styrter enheden
– afbryde en løbende aktivitet og tvinge de registrerede data til at gå tabt
IT -sikkerhedsfirmaet forsker, Moritz Abrell, havde oprindeligt opdaget sårbarhederne den 10. marts 2025, og underrettede Coros den 14. marts 2025. Coros bekræftede straks modtagelse af spørgsmålet den 14. marts 2025. Dog blev Coros tavs i endnu en måned, før han endelig svarede tilbage den 15. april 2025, at det ville løse problemerne ved udgangen af året.
Oplysning af afsløring af tidslinjen (som beskrevet i rådgivning):
2025-03-10: Sårbarhed opdaget
2025-03-14: Sårbarhed rapporteret til producenten
2025-03-14: Bekræftelse af modtagne modtagne
2025-03-17: Bad producenten om en opdatering
2025-03-31: Mere information leveret til producenten
2025-04-07: Bad producenten om en opdatering
2025-04-14: Informerede producenten om den tildelte CVE-ID og bad om en opdatering igen
2025-04-15: Svar modtaget fra producenten; Producenten informerede SYSS GmbH om, at en løsning for sårbarheden er planlagt til slutningen af året (2025)
2025-04-15: Modtagelse bekræftet, og spørgsmålet blev afklaret endnu en gang sammen med en anbefaling om hurtig opløsning
2025-06-17: Offentlig offentliggørelse
Som det er normalt for sikkerhedsforskere, uden nærmeste rettelser på plads, blev sårbarhederne offentligt afsløret den 17. juni 2025, kort efter den 90-dages tærskel udløbet. Dette inkluderer de detaljerede reproduktionstrin og kode for at drage fordel af hvert af disse spørgsmål i den virkelige verden. Forskere vil typisk tilbageholde offentliggørelse, hvis en producent arbejder med dem for at få rettelserne offentliggjort rettidigt.
Mens frigivelse af disse detaljer muligvis lyder hårdt for dem uden for IT -sikkerhedsverdenen, var den måde, Coros håndterede tingene på, indtil i går, stort set på linje med et firma, der ikke var ligeglad. At sige, at disse massive sikkerhedshuller ikke ville blive fastgjort før slutningen af året, i de fleste sikkerhedskredse, ville blive betragtet som kæbeudslip. Når alt kommer til alt var dette ikke 'bare' et mindre sikkerhedsspørgsmål eller endda et stort emne. Det var 8 store, der giver angribere adgang til bogstaveligt talt alt: selve ur/operationer, dine urdata og din Coros.com -konto. Ud over at injicere falske oplysninger, der er sendt til dig, såsom falske tekstmeddelelser (eller snooping på alle dine tekstbeskeder og/eller meddelelser, der er sendt til uret ved din telefon, som for de fleste mennesker er mindst alle tekstbeskeder).
(Detaljer fra SYSS, IT Security Research Firm)
Efter at en bruger sendte mig et link til indlægget fredag aften, undersøgte jeg til Coros for at finde ud af mere. Når alt kommer til alt var dette en utrolig detaljeret liste over problemer, og det virkede som om Coros for det meste trak på dem. Til denne e-mail gik jeg med en ruckus 'tilgang til at inkludere administrerende direktør, deres leder af produktmarkedsføring og support, deres interne chef for PR (PR-relationer) og to flere fra deres eksterne PR-firma (et hver Europa og Nordamerika). I det havde jeg to enkle spørgsmål:
1) påvirker disse faktisk alle Coros -ure?
2) Hvorfor skubbes disse opdateringer så langt ned ad vejen?
Inden for få timer (på en fredag aften) havde jeg modtaget den første bekræftelses-e-mail, at de modtog min note og gravede ind i den. Inden for 48 timer havde jeg modtaget en lang detaljeret note fra deres administrerende direktør, der skitserede svarene på mine spørgsmål, samt lidt mere detaljer om, hvordan tingene faldt fra hinanden på Coros -siden.
Først op, startende med spørgsmålet om 'hvilke ure, påvirker dette spørgsmål', Lewis Wu, Coros's administrerende direktør bekræftede følgende:
”Bluetooth-stakken deles stort set på tværs af vores ure, så disse sårbarheder gælder stort set på de fleste Coros-enheder. Der kan være mindre implementeringsforskelle på tværs af modeller, men det underliggende Bluetooth-konfiguration er konsistent. Tempo 3 var fokus i SYSSS-rapporten, men vi behandler dette som et platform-niveau-problem og anvender fixes på tværs af vores produktlinje i alt efter”. ”
Hvilket kommer derefter til det næste spørgsmål, hvorfor i alverden er disse?
”Du har ret i, at vi oprindeligt blev underrettet tidligere i år (for ca. 82 dage siden). Da vi blev underrettet, begyndte vi at arbejde på problemerne, men jeg må indrømme, at prioriteten burde have været højere. Det er en læring for Coros at prioritere sikkerhedsrelaterede problemer. Vi havde svaret på individet, der rapporterede om disse bekymringer med et overforening i bredden og de blev bredt og stødt på et bredt udtryk og det blev med et bredt udtryk og det blev stødt på et bredt udtryk og det blev stent på et bredt udtryk og det blev stødt på et bredt udtryk og det blev stent på et bredt udtryk og det blev stent på det sølte udtryk og det blev stødt på et bredt udtryk og det blev stødt på et bredt udtryk og det blev stødt på det samme, og det blev stødt på et bredt udtryk og det blev stødt på et bredt udtryk og det blev stødt på et bredt udtryk og det blev stent Disse vil blive løst længe før udgangen af dette år. ”
Jeg afsætter den sene aften mentale matematikfejl på antallet af dage, som ifølge de offentliggjorte dage burde have været 107 dage, men i det mindste indrømmer alt andet, at noget blev droppet.
Derfra skitserede han alle 8 problemer og tidslinjerne for hver. Der var tidligere et spørgsmål, der var planlagt til en juni -opdatering, skønt det er den sidste dag i juni, formoder jeg, at det blev glidet ind i juli. Til gengæld er omtrent halvdelen af problemerne nu planlagt til en juli -opdatering og den anden halvdel i august. De er grupperet i følgende:
3.1, 3.2, 3.3, 4.1: i slutningen af juli.
4.2, 4.3, 4.4, 4.5: De kræver dybere arkitektoniske ændringer og omfattende validering på tværs af firmwarevarianter. Så vores mål er at ordne dem i slutningen af august.
Disse tal ovenfor betyder intet for mennesker uden for Coros (eller mig selv), og de klarede sig i en fremtidig opdatering, at de to grupper er:
3.xliste: dem, der er bundet til parring af Bluetooth -enheder
4.xliste: dem, der er bundet til kryptering af kommunikation til enheden
Han gik videre til:
“In summary, we will establish a better authentication process before and during pairing COROS devices (3.1, 3.2, 3.3 and 4.1) before the end of July. The remaining issues (4.2, 4.3, 4.4, 4.5) are related to COROS Bluetooth communications during the product use, which requires a better encrypted communication. We will need to go through all the historical COROS devices and update them one by one. The end of August is an aggressive goal, but Vi vil prøve vores bedste. ”
Derudover bemærkede han:
”Vi vil gerne takke dig igen for at eskalere problemerne. Og det er vigtigt for Coros som et voksende firma at tage læring af det – ikke kun hvordan man løser de rapporterede problemer, men også hvordan man strømline vores interne procedurer.”
I sidste ende skal brugerne på dette tidspunkt blot vente på, at rettelserne skal implementeres. Når det er sagt, efter at have arbejdet i det og sikkerhedsrelaterede aspekter af det som mit dagjob før dette, er der næsten altid et bøjningspunkt i enhver virksomheds historie, hvor de begynder at tage sikkerhedsspørgsmål alvorligt. Eller mere specifikt rapportering og styring af dem.
Betydning, hvert enkelt softwareprodukt, der nogensinde er oprettet, vil i sidste ende have en sikkerhedsfejl. Det er stort set arten af softwareudvikling. Det, der betyder noget, er, hvordan et firma håndterer denne fejl/problem. I dette tilfælde ser det ud til, at det dybest set blev kastet i den større bunke af bugs at håndtere, snarere end at være korrekt kategoriseret som et sikkerhedsproblem. De fleste softwarevirksomheder har meget forskellige kanaler for, hvad der sker, når en sikkerhedsfejl/sårbarhed kommer ind. De har typisk meget specifikke e-mail-adresser for forskere til at kontakte, og de har derefter hyperspecifikke processer internt for at sikre, at det bliver korrekt synligt. Og endvidere har de typisk hyperspecifikke processer for, hvordan man koordinerer med sikkerhedsforskeren.
Men alt dette sker normalt kun efter Et firma skruer op en gang. I dette tilfælde gætter jeg på, at dette er 'en gang' for Coros. Som deres administrerende direktør bemærkede, vil de implementere en række ting for at sikre, at fremtidige sikkerhedsspørgsmål behandles effektivt (fordi alle virksomheder igen har sikkerhedsspørgsmål til sidst).
Under alle omstændigheder, som bruger, skal du være sikker på, at de næste Coros -firmwareopdateringer, der følger med i juli og august, anvendes på din enhed, da de helt sikkert vil være vigtige. Jeg gætter på, at Coros sandsynligvis også vil prøve at skubbe brugerne ekstra hårdt på denne.
Med det – tak for at have læst!
Fundet dette indlæg nyttigt? Støtt webstedet!
Forhåbentlig fandt du dette indlæg nyttigt. Hjemmesiden er virkelig et arbejde af kærlighed, så overvej at blive DC Rainmaker -tilhænger. Dette giver dig en annoncefri oplevelse og adgang til vores (for det meste) to-månedlige bag kulisserne videoserier af “Shed Talkin '.
Support Dcrainmaker – Shop på Amazon
Ellers skal du overveje at bruge nedenstående link, hvis du handler på Amazon. Som Amazon -associeret tjener jeg på at kvalificere køb. Det koster dig ikke noget ekstra, men dine køb hjælper med at støtte dette websted meget. Det kunne simpelthen være at købe toiletpapir, eller denne pizzaovn, vi bruger og elsker.
