Người dùng thiết bị theo dõi sức khỏe đang đối mặt với một cơn ác mộng bảo mật mới khi các nhà nghiên cứu phát hiện ra những lỗ hổng lan rộng ảnh hưởng đến toàn bộ dòng sản phẩm thiết bị Coros. Điều bắt đầu như một cuộc điều tra về một mẫu sản phẩm duy nhất đã tiết lộ những lỗ hổng hệ thống khiến dữ liệu cá nhân của hàng triệu người dùng có nguy cơ bị đánh cắp thông qua việc khai thác Bluetooth đơn giản.
Phát hiện lỗ hổng bảo mật lan rộng trên tất cả thiết bị Coros
Các nhà nghiên cứu bảo mật IT người Đức từ SySS GmbH đã xác định ít nhất tám lỗ hổng bảo mật riêng biệt ảnh hưởng đến mọi thiết bị theo dõi sức khỏe và máy tính xe đạp Coros hiện có trên thị trường. Cuộc điều tra ban đầu tập trung vào Coros Pace 3 nhưng nhanh chóng tiết lộ rằng các lỗ hổng bảo mật xuất phát từ những vấn đề cơ bản trong mã kết nối Bluetooth được chia sẻ trên toàn bộ dòng sản phẩm của công ty. Điều này có nghĩa là các mẫu phổ biến như Pace Pro và máy tính xe đạp Dura đều gặp phải những điểm yếu nghiêm trọng tương tự.
Các thiết bị Coros bị ảnh hưởng
| Danh mục thiết bị | Các mẫu |
|---|---|
| Đồng hồ thể thao | Pace 3 , Pace Pro , và tất cả các mẫu đồng hồ gần đây |
| Máy tính xe đạp | Dura |
| Phạm vi | Tất cả các thiết bị Coros hiện có trên thị trường |
Kẻ tấn công có thể chiếm đoạt tài khoản và đánh cắp dữ liệu cá nhân
Các lỗ hổng cho phép kẻ tấn công không được xác thực trong phạm vi Bluetooth thực hiện các cuộc tấn công tàn phá đối với người dùng không nghi ngờ. Hacker có thể chiếm đoạt tài khoản người dùng và truy cập tất cả dữ liệu sức khỏe được lưu trữ trên trang web Coros, bao gồm thông tin vị trí nhạy cảm tiết lộ nơi người dùng thường bắt đầu chạy bộ và các hoạt động tập luyện. Các lỗ hổng bảo mật cũng cho phép kẻ tấn công nghe lén tin nhắn văn bản và thông báo được gửi đến điện thoại thông minh được kết nối, tạo ra khả năng giám sát toàn diện mở rộng xa hơn dữ liệu sức khỏe.
 |
|---|
| Đồng hồ thông minh Coros Pace 3 , một mẫu sản phẩm dễ bị tấn công qua lỗ hổng Bluetooth , được hiển thị ở đây trong quá trình hoạt động, cho thấy dữ liệu thể dục như các vùng nhịp tim |
Thao tác thiết bị từ xa gây ra rủi ro an toàn nghiêm trọng
Ngoài việc đánh cắp dữ liệu, các lỗ hổng cho phép kẻ tấn công thao tác cài đặt thiết bị từ xa mà không cần bất kỳ sự biết đến hoặc đồng ý nào từ người dùng. Các tác nhân độc hại có thể khôi phục cài đặt gốc thiết bị từ xa, xóa hoàn toàn tất cả dữ liệu người dùng và lịch sử tập luyện. Có lẽ điều đáng lo ngại nhất từ góc độ an toàn là kẻ tấn công có thể làm sập thiết bị trong những thời điểm quan trọng hoặc làm gián đoạn các buổi tập luyện đang diễn ra, buộc người dùng mất dữ liệu sức khỏe đã ghi lại. Khả năng tiêm thông tin giả mạo, chẳng hạn như thông báo tin nhắn giả, đồng thời giám sát tin nhắn thật tạo ra thêm cơ hội cho các cuộc tấn công kỹ thuật xã hội.
Khả năng Tấn công
| Loại Tấn công | Mô tả |
|---|---|
| Chiếm đoạt Tài khoản | Truy cập tất cả dữ liệu thể dục được lưu trữ trên COROS.com |
| Nghe lén Dữ liệu | Theo dõi tin nhắn văn bản và thông báo |
| Thao tác Từ xa | Thay đổi cài đặt thiết bị mà người dùng không biết |
| Khôi phục Cài đặt Gốc | Xóa toàn bộ dữ liệu người dùng từ xa |
| Làm Sập Thiết bị | Gián đoạn thiết bị trong những thời điểm quan trọng |
| Can thiệp Tập luyện | Buộc mất dữ liệu thể dục đã ghi lại |
| Thông tin Giả mạo | Tiêm thông báo giả trong khi theo dõi thông báo thật |
 |
|---|
| Chiếc Coros Pace 3 , một smartwatch dễ bị thao túng từ xa, được hiển thị với các thông tin thiết yếu, phản ánh những rủi ro của nó trong những thời điểm quan trọng đối với người dùng |
Người dùng Android đối mặt với rủi ro cao hơn iOS
Các nhà nghiên cứu bảo mật phát hiện ra rằng người dùng Android đối mặt với rủi ro đặc biệt nghiêm trọng do cách ứng dụng Coros xử lý kết nối Bluetooth. Trong khi các thiết bị iOS vẫn dễ bị tấn công, điện thoại Android bỏ qua các bước xác thực quan trọng và chỉ đơn giản ghép nối với các thiết bị gần đó một cách tự động. Điều này có nghĩa là bất kỳ kết nối Bluetooth đang diễn ra nào giữa điện thoại Android và đồng hồ Coros đều có thể bị chặn, đánh hơi hoặc can thiệp, khiến các cuộc tấn công trở nên thực tế hơn nhiều và khó phát hiện hơn đáng kể đối với người dùng bình thường.
Phản ứng ban đầu của công ty thiếu tính cấp bách
Khi các nhà nghiên cứu bảo mật lần đầu báo cáo những lỗ hổng nghiêm trọng này cho Coros vào ngày 14 tháng 3, tuân theo các giao thức tiết lộ tiêu chuẩn của ngành, phản ứng của công ty thật đáng thất vọng vì quá chậm chạp. Coros ban đầu cho biết rằng các bản sửa lỗi sẽ không đến cho đến cuối năm 2025, coi những lỗ hổng bảo mật nghiêm trọng này như những lỗi thường gặp thay vì mối đe dọa cấp bách đối với quyền riêng tư và an toàn của người dùng. Chỉ sau khi các lỗ hổng được tiết lộ công khai vào ngày 17 tháng 6 với các bước tái tạo chi tiết và mã khai thác, công ty mới bắt đầu coi trọng tình hình và chuyển sang chế độ kiểm soát thiệt hại.
Lộ trình sửa lỗi được đẩy nhanh hứa hẹn giải pháp vào tháng 8
Sau áp lực công chúng và sự chú ý của truyền thông, CEO Coros Lewis Wu thừa nhận rằng các lỗ hổng Bluetooth stack đại diện cho một vấn đề cấp hệ thống ảnh hưởng đến hầu hết các thiết bị của công ty. Công ty hiện đã đẩy nhanh đáng kể lộ trình sửa chữa, hứa hẹn giải quyết bốn lỗ hổng liên quan đến ghép nối thiết bị Bluetooth trước cuối tháng 7 năm 2025. Các vấn đề còn lại liên quan đến mã hóa giao tiếp thiết bị được lên lịch giải quyết trước cuối tháng 8, với các bản cập nhật được triển khai cho từng mẫu thiết bị Coros một cách tuần tự.
Lịch trình khắc phục lỗ hổng bảo mật
| Giai đoạn | Ngày mục tiêu | Lỗ hổng được giải quyết |
|---|---|---|
| Giai đoạn 1 | Cuối tháng 7 năm 2025 | Bốn lỗ hổng liên quan đến việc ghép nối thiết bị Bluetooth |
| Giai đoạn 2 | Cuối tháng 8 năm 2025 | Mã hóa thông tin liên lạc tới thiết bị |
| Lịch trình ban đầu | Cuối năm 2025 | Tất cả lỗ hổng (trước khi công bố công khai) |
Người dùng phải chờ đợi các bản cập nhật mà không có giải pháp thay thế
Thật không may cho người dùng Coros hiện tại, không có giải pháp thay thế hiệu quả nào để giảm thiểu những lỗ hổng này trong thời gian chờ đợi, vì chúng được nhúng sâu trong các giao thức giao tiếp Bluetooth của thiết bị. Công ty khuyên rằng người dùng có đồng hồ cập nhật không cần thực hiện hành động ngay lập tức, nhưng họ phải cài đặt các bản cập nhật phần mềm tháng 7 và tháng 8 ngay khi được phát hành. Sự cố này là lời nhắc nhở rõ ràng rằng các thiết bị đeo theo dõi sức khỏe, mặc dù có vẻ vô hại, có thể trở thành trách nhiệm bảo mật đáng kể khi chúng có quyền truy cập vào dữ liệu sức khỏe cá nhân rất nhạy cảm, theo dõi vị trí và thông báo điện thoại thông minh.