COROS i krytyczne luki bezpieczeństwa — co musisz wiedzieć?
COROS i krytyczne luki bezpieczeństwa — co musisz wiedzieć?
DCRainmaker — najbardziej wpływowy recenzent sprzętu sportowego na świecie — opublikował szczegółową analizę luk bezpieczeństwa w produktach marki COROS. Wnioski są alarmujące: problemy określono jako „tak poważne, jak to tylko możliwe”. Co gorsza, podatności dotyczyły praktycznie każdego modelu w ofercie producenta.
Co się stało?
Latem 2025 roku badacz bezpieczeństwa Moritz Abrell zidentyfikował krytyczne błędy w ekosystemie COROS. Nie mówimy tu o drobnej usterce w aplikacji, lecz o lukach w samej architekturze systemu. Problem obejmował komunikację między zegarkiem a smartfonem, proces synchronizacji danych oraz mechanizmy uwierzytelniania użytkowników.
Skala zaniedbań była tak duża, że COROS musiał wdrożyć co najmniej sześć fundamentalnych zmian konstrukcyjnych. To nie była zwykła poprawka, którą można przygotować w kilka minut, lecz gruntowna przebudowa sposobu, w jaki zegarek wymienia informacje z telefonem i serwerami firmy.
Reakcja producenta: Od ignorancji do pełnej współpracy
Początkowo reakcja COROS pozostawiała wiele do życzenia. Według relacji DCRainmakera firma zignorowała pierwsze zgłoszenia badacza. Dopiero pod naciskiem opinii publicznej i ekspertów sprawę potraktowano priorytetowo.
Na pochwałę zasługuje jednak dalszy przebieg naprawy:
- Wydano aktualizacje oprogramowania układowego (firmware) dla wszystkich dotkniętych modeli.
- Uruchomiono dedykowaną stronę wsparcia z listą wersji oprogramowania, które gwarantują bezpieczeństwo.
- Producent umożliwił badaczowi publiczną prezentację wyników na konferencji bezpieczeństwa (po skutecznym wdrożeniu poprawek).
Co to oznacza dla użytkowników w Polsce?
Jeśli korzystasz z zegarka COROS (szczególnie popularnych modeli PACE 3 czy COROS DURA), musisz niezwłocznie sprawdzić wersję oprogramowania.
Jak to zrobić?
- Otwórz aplikację COROS na telefonie.
- Przejdź do: Ustawienia → Urządzenie → Wersja firmware.
- Porównaj swój numer wersji z listą na oficjalnej stronie wsparcia COROS.
- Jeśli system proponuje aktualizację — zainstaluj ją natychmiast.
Problem dotyczy niemal wszystkich urządzeń, z wyjątkiem najstarszych generacji (APEX 42/46mm gen. 1, Kiprun 500 oraz PACE 1).
Szerszy kontekst: Twoje dane to nie tylko kilometry
Ta sytuacja przypomina nam o czymś, o czym często zapominamy: zegarek sportowy wie o Tobie więcej niż większość aplikacji w telefonie. Tętno spoczynkowe, parametry HRV, wzorce snu i precyzyjne trasy biegowe (często zaczynające się pod Twoim domem) to dane wrażliwe. W niepowołanych rękach mogą stać się narzędziem nadużyć.
Garmin wyciągnął lekcję z potężnego ataku ransomware w 2020 roku, inwestując od tego czasu miliony w cyberbezpieczeństwo. COROS, jako mniejszy i dynamicznie rozwijający się gracz, przechodzi właśnie swój „chrzest bojowy”.
Dla nas, sportowców, wniosek jest prosty: regularna aktualizacja oprogramowania to nie luksus, a konieczność. Wybierając sprzęt, zwracajmy uwagę nie tylko na czas pracy baterii czy precyzję GPS, ale także na to, jak producent chroni naszą prywatność.
Świetny tekst, bardzo „klikalny" i pożyteczny. Czy chciałbyś, abym przygotował teraz krótkie zestawienie (tabelę) porównującą podejście Garmina i Coros do bezpieczeństwa na przestrzeni ostatnich lat?
