על-פי דיווחים של חוקרי אבטחת מידע גרמניים, כל שעוני COROS, כולל דגמי הדגל החדשים, סובלים מפרצת אבטחה חמורה, דרך הבלוטות'. התקיפה מאפשרת השתלטות מרחוק על השעון, מחיקת נתונים, קריאת הודעות והתראות – ואף חדירה לחשבון המשתמש.
לכתבות נוספות בנושא:
5 פריטים שמי שלא רץ – פשוט לא יבין את החשיבות שלהם
בדיקה: האם ריצה עם טייץ בגזרה גבוהה עלולה להזיק?
שירות הפרימיום החדש Garmin Connect+: מה הוא מציע והאם זה שווה את המחיר?
בעולם שעוני הספורט, COROS נחשבת שחקנית חדשה אך מבטיחה, המתחרה בגופים כמו Garmin ו-Polar. עם חיי סוללה ארוכים, תמחור נגיש יחסית, ומתן חסות לכמה ספורטאים מובילים – החברה צברה קהל נאמן. אבל כעת, היא מתמודדת עם המשבר הגדול בתולדותיה: דו"ח של חברת אבטחת מידע גרמנית (SySS GmbH) חושף שמונה פרצות אבטחה קריטיות בכל שעוני COROS ובמחשבי האופניים שלה.
הפרצות נובעות מחולשות בתקשורת הבלוטות' בין השעון לטלפון, אשר מתבצעת ללא אימות תקין וללא הצפנה מספקת. המשמעות: תוקף יכול, אם הוא בטווח קליטה, להשתלט על השעון, לקרוא מידע אישי, לשנות הגדרות, למחוק נתונים ואף לשלוח הודעות מזויפות.
כל שעוני COROS חשופים
למרות שהדיווח הראשוני התמקד בדגם Pace 3, מנכ"ל COROS, לואיס וו, אישר כי הקוד שאחראי על תקשורת הבלוטות' משותף לכל מוצרי החברה, ולכן כל השעונים והאביזרים חשופים: Pace Pro, Apex 2, Vertix 2 ואחרים.
בין האפשרויות העומדות לרשות התוקף:
- גניבת נתוני המשתמש וכניסה לחשבון COROS
- קריאת כל ההודעות וההתראות שמגיעות לשעון
- שליטה בהגדרות המכשיר מרחוק
- איפוס למצב יצרן ומחיקת כל הנתונים
- הפסקת פעילות בזמן אמת (למשל, תוך כדי ריצה או רכיבה)
- שליחת הודעות שקריות למשתמש
במקרה של טלפון אנדרואיד, הפרצות חמורות עוד יותר – מכיוון שהצפנת הבלוטות' מערכתית פחות הדוקה בהשוואה ל-iOS.
תגובת COROS: "טעינו בסדר העדיפויות"
הפרצות התגלו לראשונה במרץ 2025 ודווחו לחברה, אך התגובה הראשונית של COROS הייתה רפה. החברה הודיעה אז כי התיקונים יגיעו רק "עד סוף 2025", מה שעורר ביקורת חריפה בקהילת אבטחת המידע. רק לאחר פרסום הפירצות באופן פומבי בחודש האחרון, שכלל גם קוד לדוגמה לניצול שלהן, החלה COROS לפעול.
בתגובה רשמית שנמסרה לבלוגר DC Rainmaker, שהוביל את החשיפה, התייחס מנכ"ל COROS, לואיס וו, לממצאים באופן גלוי למדי. לדבריו, החברה אכן קיבלה את הדיווח הראשוני כבר ב־14 במרץ, אך לא נתנה לו את קדימות האבטחה הראויה: "התחלנו לטפל בבעיה, אך עלינו להודות – סדר העדיפויות שלנו היה לקוי. למדנו שיש לטפל בפרצות אבטחה באופן מיידי וברור, ולא להשליך אותן לערימת הבאגים הכללית," כתב.
שעון קורוס שנפרץ | מתוך הדוח הרשמי
הוא הוסיף כי אמנם החברה מסרה למקור המדווח כי התיקונים יגיעו עד סוף 2025, אך כעת הם מבינים שהניסוח היה בעייתי: "היינו צריכים לפרט את לוח הזמנים באופן מדויק לפי כל פרצה – ולא להסתפק בהצהרה כללית. רוב התיקונים יושלמו הרבה לפני סוף השנה". COROS גם התחייבה להפיק לקחים מערכתיים מהאירוע: "כחברה בצמיחה, אנחנו מבינים שעלינו להקים תהליכים ברורים לטיפול בדיווחי אבטחה, הן פנימיים והן חיצוניים. ניישם מערך חדש לתקשורת מול חוקרי אבטחה ונהפוך את תגובתנו לזריזה וממוקדת יותר".
החברה אף פירטה לוח זמנים מעודכן: עד סוף יולי: תיקון ארבע פרצות הנוגעות להתאמת מכשירי בלוטות' (לרבות התחברות לא מאובטחת). עד סוף אוגוסט: תיקון יתר הפרצות, הכוללות הצפנה חלשה של תקשורת עם השעון, ודורשות שינוי ארכיטקטוני עמוק.
מה על המשתמשים לעשות?
נכון לכתיבת שורות אלו, לא קיימים פתרונות מלאים לפרצות האבטחה שהתגלו – לכן ההמלצה המרכזית היא להקפיד על התקנת העדכונים ברגע שיתפרסמו ביולי ובאוגוסט.
יחד עם זאת, קיימות כמה פעולות שמומלץ לבצע מיידית:
- למשתמשי אנדרואיד: יש לסגור באופן יזום את אפליקציית COROS כאשר אינה בשימוש. הסיבה: החיבור לבלוטות' במכשירי אנדרואיד פחות מאובטח, והאפליקציה הפתוחה מאפשרת לתוקף בטווח קליטה לקבל גישה לשעון.
- התחברות ראשונית לשעון חדש, או חיבור מחדש: מומלץ לבצע אך ורק בסביבה פרטית ולא ציבורית, כדי למנוע ניסיון התחברות זדוני.
- הימנעות מזמני ניתוק: אם השעון מתנתק מהטלפון (למשל בסיום אימון), כדאי לחבר אותו מחדש בהקדם כדי לצמצם את חלון ההזדמנויות לתוקף.
- מעקב אחרי עדכוני תוכנה: חשוב לבדוק ידנית (דרך האפליקציה או השעון) אם יצא עדכון חדש ביולי או אוגוסט, ולא להסתמך רק על התראות.
- עד שהעדכונים יגיעו, מומלץ למשתמשים לשקול לכבות את הבלוטות' בשעון דרך ההגדרות כשהם נמצאים במקומות ציבוריים
