Pengguna fitness tracker menghadapi mimpi buruk keamanan baru ketika para peneliti mengungkap kerentanan yang tersebar luas yang mempengaruhi seluruh jajaran perangkat Coros . Yang dimulai sebagai investigasi terhadap satu model telah mengungkap kelemahan sistemik yang menempatkan data pribadi jutaan pengguna dalam risiko melalui eksploitasi Bluetooth sederhana.
Kelemahan Keamanan Tersebar Luas Ditemukan di Semua Perangkat Coros
Peneliti keamanan IT Jerman dari SySS GmbH telah mengidentifikasi setidaknya delapan kerentanan keamanan berbeda yang mempengaruhi setiap fitness tracker dan komputer sepeda Coros yang saat ini beredar di pasaran. Investigasi awalnya berfokus pada Coros Pace 3 tetapi dengan cepat mengungkap bahwa kelemahan keamanan berasal dari masalah mendasar dalam kode konektivitas Bluetooth yang dibagikan di seluruh jajaran produk perusahaan. Ini berarti bahwa model populer seperti Pace Pro dan komputer sepeda Dura semuanya menderita kelemahan kritis yang sama.
Perangkat Coros yang Terpengaruh
| Kategori Perangkat | Model |
|---|---|
| Jam Tangan Fitness | Pace 3 , Pace Pro , dan semua model jam tangan terbaru |
| Komputer Sepeda | Dura |
| Cakupan | Semua perangkat Coros yang saat ini beredar di pasaran |
Penyerang Dapat Membajak Akun dan Mencuri Data Pribadi
Kerentanan ini memungkinkan penyerang yang tidak terautentikasi dalam jangkauan Bluetooth untuk melakukan serangan yang menghancurkan pada pengguna yang tidak curiga. Hacker dapat membajak akun pengguna dan mengakses semua data kebugaran yang tersimpan di situs web Coros , termasuk informasi lokasi sensitif yang mengungkap di mana pengguna biasanya memulai lari dan rutinitas olahraga mereka. Kelemahan keamanan ini juga memungkinkan penyerang untuk menguping pesan teks dan notifikasi yang dikirim ke smartphone yang terhubung, menciptakan kemampuan pengawasan komprehensif yang jauh melampaui data kebugaran.
 |
|---|
| Smartwatch Coros Pace 3, sebuah model yang rentan terhadap eksploitasi Bluetooth, ditampilkan di sini sedang beraksi, menampilkan data kebugaran seperti zona detak jantung |
Manipulasi Perangkat Jarak Jauh Menimbulkan Risiko Keselamatan Serius
Selain pencurian data, kerentanan ini memungkinkan penyerang untuk memanipulasi pengaturan perangkat dari jarak jauh tanpa pengetahuan atau persetujuan pengguna. Pelaku jahat dapat melakukan factory reset perangkat dari kejauhan, menghapus semua data pengguna dan riwayat latihan sepenuhnya. Mungkin yang paling mengkhawatirkan dari perspektif keselamatan, penyerang dapat membuat perangkat crash selama momen kritis atau mengganggu latihan aktif, memaksa pengguna kehilangan data kebugaran yang terekam. Kemampuan untuk menyuntikkan informasi palsu, seperti notifikasi teks palsu, sambil secara bersamaan memantau pesan asli menciptakan peluang tambahan untuk serangan rekayasa sosial.
Kemampuan Serangan
| Jenis Serangan | Deskripsi |
|---|---|
| Pembajakan Akun | Mengakses semua data kebugaran yang tersimpan di COROS.com |
| Penyadapan Data | Memantau pesan teks dan notifikasi |
| Manipulasi Jarak Jauh | Mengubah pengaturan perangkat tanpa sepengetahuan pengguna |
| Reset Pabrik | Menghapus semua data pengguna dari jarak jauh |
| Perusakan Perangkat | Mengganggu perangkat selama momen-momen kritis |
| Gangguan Latihan | Memaksa hilangnya data kebugaran yang telah direkam |
| Informasi Palsu | Menyuntikkan notifikasi palsu sambil memantau notifikasi asli |
 |
|---|
| Coros Pace 3, sebuah smartwatch yang rentan terhadap manipulasi jarak jauh, ditampilkan dengan informasi penting, mencerminkan risikonya selama momen-momen kritis bagi pengguna |
Pengguna Android Menghadapi Risiko Lebih Tinggi Daripada iOS
Para peneliti keamanan menemukan bahwa pengguna Android menghadapi risiko yang sangat parah karena cara aplikasi Coros menangani koneksi Bluetooth . Sementara perangkat iOS tetap rentan terhadap serangan, ponsel Android melewatkan langkah-langkah autentikasi penting dan hanya berpasangan dengan perangkat terdekat secara otomatis. Ini berarti bahwa setiap koneksi Bluetooth yang sedang berlangsung antara ponsel Android dan jam tangan Coros dapat dicegat, diendus, atau dirusak, membuat serangan jauh lebih praktis dan secara signifikan lebih sulit dideteksi untuk pengguna rata-rata.
Respons Awal Perusahaan Kurang Mendesak
Ketika peneliti keamanan pertama kali melaporkan kerentanan kritis ini kepada Coros pada 14 Maret, mengikuti protokol pengungkapan industri standar, respons perusahaan sangat mengecewakan. Coros awalnya mengindikasikan bahwa perbaikan tidak akan tiba sampai akhir 2025, memperlakukan kelemahan keamanan kritis ini sebagai bug rutin daripada ancaman mendesak terhadap privasi dan keselamatan pengguna. Hanya setelah kerentanan diungkapkan secara publik pada 17 Juni dengan langkah-langkah reproduksi terperinci dan kode eksploit, perusahaan mulai menganggap situasi ini serius dan memasuki mode kontrol kerusakan.
Timeline Perbaikan yang Dipercepat Menjanjikan Bantuan pada Agustus
Menyusul tekanan publik dan perhatian media, CEO Coros Lewis Wu mengakui bahwa kerentanan stack Bluetooth mewakili masalah tingkat sistem yang mempengaruhi sebagian besar perangkat perusahaan. Perusahaan sekarang telah secara dramatis mempercepat timeline perbaikannya, berjanji untuk menyelesaikan empat kerentanan yang terkait dengan pemasangan perangkat Bluetooth sebelum akhir Juli 2025. Masalah yang tersisa terkait dengan enkripsi komunikasi perangkat dijadwalkan untuk diselesaikan sebelum akhir Agustus, dengan pembaruan diluncurkan ke setiap model perangkat Coros secara berurutan.
Jadwal Perbaikan Keamanan
| Fase | Target Tanggal | Kerentanan yang Ditangani |
|---|---|---|
| Fase 1 | Akhir Juli 2025 | Empat kerentanan terkait pemasangan perangkat Bluetooth |
| Fase 2 | Akhir Agustus 2025 | Enkripsi komunikasi ke perangkat |
| Jadwal Asli | Akhir 2025 | Semua kerentanan (sebelum pengungkapan publik) |
Pengguna Harus Menunggu Pembaruan Tanpa Ada Solusi Sementara
Sayangnya bagi pengguna Coros saat ini, tidak ada solusi sementara yang efektif untuk mengurangi kerentanan ini sementara waktu, karena mereka tertanam dalam protokol komunikasi Bluetooth perangkat. Perusahaan menyarankan bahwa pengguna dengan jam tangan yang terbaru tidak perlu mengambil tindakan segera, tetapi mereka harus menginstal pembaruan perangkat lunak Juli dan Agustus segera setelah dirilis. Insiden ini berfungsi sebagai pengingat yang jelas bahwa wearable kebugaran, meskipun sifatnya yang tampaknya jinak, dapat menjadi kewajiban keamanan yang signifikan ketika mereka mendapatkan akses ke data kesehatan yang sangat pribadi, pelacakan lokasi, dan notifikasi smartphone.