Pengguna penjejak kecergasan berhadapan dengan mimpi ngeri keselamatan baharu apabila penyelidik mendedahkan kelemahan yang meluas yang menjejaskan keseluruhan barisan peranti Coros. Apa yang bermula sebagai penyiasatan terhadap satu model telah mendedahkan kelemahan sistemik yang meletakkan data peribadi berjuta-juta pengguna dalam risiko melalui eksploitasi Bluetooth yang mudah.
Kelemahan Keselamatan Meluas Ditemui Merentasi Semua Peranti Coros
Penyelidik keselamatan IT Jerman dari SySS GmbH telah mengenal pasti sekurang-kurangnya lapan kelemahan keselamatan yang berbeza yang menjejaskan setiap penjejak kecergasan dan komputer basikal Coros yang ada di pasaran pada masa ini. Penyiasatan pada mulanya memfokuskan kepada Coros Pace 3 tetapi dengan cepat mendedahkan bahawa kelemahan keselamatan berpunca daripada isu asas dalam kod sambungan Bluetooth yang dikongsi merentasi keseluruhan barisan produk syarikat. Ini bermakna model popular seperti Pace Pro dan komputer basikal Dura semuanya mengalami kelemahan kritikal yang sama.
Peranti Coros Yang Terjejas
| Kategori Peranti | Model |
|---|---|
| Jam Tangan Kecergasan | Pace 3 , Pace Pro , dan semua model jam tangan terkini |
| Komputer Basikal | Dura |
| Skop | Semua peranti Coros yang kini berada di pasaran |
Penyerang Boleh Merampas Akaun dan Mencuri Data Peribadi
Kelemahan tersebut membolehkan penyerang yang tidak disahkan dalam jangkauan Bluetooth melakukan serangan yang memudaratkan terhadap pengguna yang tidak curiga. Penggodam boleh merampas akaun pengguna dan mengakses semua data kecergasan yang disimpan di laman web Coros, termasuk maklumat lokasi sensitif yang mendedahkan tempat pengguna biasanya memulakan larian dan rutin senaman mereka. Kelemahan keselamatan juga membolehkan penyerang mencuri dengar mesej teks dan pemberitahuan yang dihantar ke telefon pintar yang disambungkan, mewujudkan keupayaan pengawasan menyeluruh yang melangkaui data kecergasan.
 |
|---|
| Jam pintar Coros Pace 3, sebuah model yang terdedah kepada eksploitasi Bluetooth, ditunjukkan di sini dalam tindakan, memaparkan data kecergasan seperti zon kadar denyutan jantung |
Manipulasi Peranti Jauh Menimbulkan Risiko Keselamatan Serius
Selain daripada kecurian data, kelemahan tersebut membolehkan penyerang memanipulasi tetapan peranti dari jauh tanpa sebarang pengetahuan atau persetujuan pengguna. Pelaku berniat jahat boleh menetapkan semula kilang peranti dari jauh, memadamkan sepenuhnya semua data pengguna dan sejarah senaman. Mungkin yang paling membimbangkan dari perspektif keselamatan, penyerang boleh merosak peranti semasa detik-detik kritikal atau mengganggu senaman aktif, memaksa pengguna kehilangan data kecergasan yang direkodkan. Keupayaan untuk menyuntik maklumat palsu, seperti pemberitahuan teks palsu, sambil memantau mesej tulen secara serentak mewujudkan peluang tambahan untuk serangan kejuruteraan sosial.
Keupayaan Serangan
| Jenis Serangan | Penerangan |
|---|---|
| Rampasan Akaun | Akses kepada semua data kecergasan yang disimpan di COROS.com |
| Penyadapan Data | Memantau mesej teks dan pemberitahuan |
| Manipulasi Jauh | Mengubah tetapan peranti tanpa pengetahuan pengguna |
| Tetapan Semula Kilang | Memadamkan semua data pengguna dari jarak jauh |
| Ranap Peranti | Mengganggu peranti semasa detik-detik kritikal |
| Gangguan Senaman | Memaksa kehilangan data kecergasan yang direkodkan |
| Maklumat Palsu | Menyuntik pemberitahuan palsu sambil memantau yang sebenar |
 |
|---|
| Coros Pace 3 , sebuah jam pintar yang terdedah kepada manipulasi jauh, dipaparkan dengan maklumat penting, mencerminkan risikonya semasa detik-detik kritikal bagi pengguna |
Pengguna Android Menghadapi Risiko Lebih Tinggi Berbanding iOS
Penyelidik keselamatan mendapati bahawa pengguna Android menghadapi risiko yang sangat teruk disebabkan cara aplikasi Coros mengendalikan sambungan Bluetooth. Walaupun peranti iOS kekal terdedah kepada serangan, telefon Android melangkau langkah pengesahan penting dan hanya berpasangan dengan peranti berdekatan secara automatik. Ini bermakna bahawa sebarang sambungan Bluetooth yang berterusan antara telefon Android dan jam tangan Coros boleh dipintas, diendus, atau diusik, menjadikan serangan jauh lebih praktikal dan lebih sukar untuk dikesan oleh pengguna biasa.
Respons Awal Syarikat Kurang Kecemasan
Apabila penyelidik keselamatan mula-mula melaporkan kelemahan kritikal ini kepada Coros pada 14 Mac, mengikut protokol pendedahan industri standard, respons syarikat sangat perlahan. Coros pada mulanya menunjukkan bahawa pembaikan tidak akan tiba sehingga akhir 2025, menganggap kelemahan keselamatan kritikal ini sebagai pepijat rutin dan bukannya ancaman mendesak kepada privasi dan keselamatan pengguna. Hanya selepas kelemahan tersebut didedahkan secara terbuka pada 17 Jun dengan langkah-langkah pembiakan terperinci dan kod eksploit barulah syarikat mula mengambil serius situasi tersebut dan memasuki mod kawalan kerosakan.
Garis Masa Pembaikan Dipercepatkan Menjanjikan Kelegaan Menjelang Ogos
Berikutan tekanan awam dan perhatian media, Ketua Pegawai Eksekutif Coros Lewis Wu mengakui bahawa kelemahan tindanan Bluetooth mewakili isu peringkat sistem yang menjejaskan kebanyakan peranti syarikat. Syarikat kini telah mempercepatkan garis masa pembaikannya secara dramatik, berjanji untuk menyelesaikan empat kelemahan yang berkaitan dengan perpasangan peranti Bluetooth sebelum akhir Julai 2025. Isu-isu yang tinggal yang terikat dengan penyulitan komunikasi peranti dijadualkan untuk penyelesaian sebelum akhir Ogos, dengan kemas kini dilancarkan kepada setiap model peranti Coros secara berurutan.
Jadual Masa Pembaikan Keselamatan
| Fasa | Tarikh Sasaran | Kelemahan Yang Ditangani |
|---|---|---|
| Fasa 1 | Akhir Julai 2025 | Empat kelemahan berkaitan gandingan peranti Bluetooth |
| Fasa 2 | Akhir Ogos 2025 | Penyulitan komunikasi kepada peranti |
| Jadual Masa Asal | Akhir 2025 | Semua kelemahan (sebelum pendedahan awam) |
Pengguna Mesti Menunggu Kemas Kini Tanpa Penyelesaian Sementara
Malangnya bagi pengguna Coros semasa, tiada penyelesaian sementara yang berkesan wujud untuk mengurangkan kelemahan ini buat masa ini, kerana ia tertanam dalam protokol komunikasi Bluetooth peranti. Syarikat menasihatkan bahawa pengguna dengan jam tangan terkini tidak perlu mengambil tindakan segera, tetapi mereka mesti memasang kemas kini perisian Julai dan Ogos dengan segera setelah dikeluarkan. Insiden ini berfungsi sebagai peringatan yang jelas bahawa peranti boleh pakai kecergasan, walaupun sifatnya kelihatan tidak berbahaya, boleh menjadi liabiliti keselamatan yang ketara apabila ia mendapat akses kepada data kesihatan yang sangat peribadi, penjejakan lokasi, dan pemberitahuan telefon pintar.
