Un empresa de seguridad informática alemán ha publicado
una lista de 8 diferentes bugs de seguridad encontrados en todos los relojes COROS que dan acceso completo no solo al reloj del usuario, sino también a su cuenta COROS. Esto incluye todo, desde interrumpir un entreno (durante el entreno), hasta reiniciar el dispositivo a distancia, así como acceder/descargar todos tus datos de COROS.com.
La lista de problemas de seguridad se mencionó originalmente
para solo el reloj COROS Pace 3; sin embargo, he confirmado con COROS que en realidad afecta a todos los dispositivos COROS, ya que todos los relojes COROS (+ computadora de bicicleta) utilizan el mismo código de conectividad Bluetooth entre el reloj y el teléfono, donde está el problema.
La empresa describió los problemas en su publicación,
que lo consolida en seis brechas clave (como parte de 8 bugs de seguridad específicos):
– Secuestrar la cuenta COROS de la víctima y acceder a todos los datos
– Espiar datos sensibles, e.g. notificaciones
– Manipular la configuración del dispositivo
– Reiniciar el dispositivo de fábrica
– Hacer que el dispositivo se caiga
– Interrumpir una actividad en ejecución y forzar que los datos grabados se pierdan
El investigador de seguridad informática,
Moritz Abrell, había descubierto inicialmente las vulnerabilidades el 10 de marzo de 2025, y notificó a COROS el 14 de marzo de 2025. COROS confirmó inmediatamente la recepción del problema el 14 de marzo de 2025 también. Sin embargo, después de eso, COROS se quedó en silencio durante otro mes, antes de finalmente responder el 15 de abril de 2025 que arreglaría los problemas para fin de año.
Timeline de divulgación
(como se describe en el aviso):
2025-03-10: Vulnerabilidad descubierta
2025-03-14: Vulnerabilidad reportada al fabricante
2025-03-14: Confirmación de recepción recibida
2025-03-17: Pregunté al fabricante por una actualización
2025-03-31: Más información proporcionada al fabricante
2025-04-07: Pregunté al fabricante por una actualización
2025-04-14: Informé al fabricante sobre el CVE-ID asignado y pedí una actualización una vez más
2025-04-15: Respuesta recibida del fabricante; el fabricante informó a SySS GmbH que un arreglo para la vulnerabilidad está planeado para fin de año (2025)
2025-04-15: Recepción confirmada, y el problema fue aclarado una vez más, junto con una recomendación para una resolución rápida
2025-06-17: Divulgación pública
Como es normal para los investigadores de seguridad,
sin arreglos a corto plazo, las vulnerabilidades se divulgaron públicamente el 17 de junio de 2025, poco después de que expirara el plazo de 90 días. Esto incluye los pasos de reproducción detallados, y código, para aprovechar cada uno de estos problemas en el mundo real. Típicamente, los investigadores retendrán la divulgación pública si un fabricante está trabajando con ellos para publicar los arreglos a tiempo.
Aunque liberar estos detalles puede sonar duro
para aquellos fuera del mundo de seguridad informática, la forma en que COROS manejó las cosas hasta ayer fue en gran parte acorde a una empresa que no le importaba. Decir que estos enormes agujeros de seguridad no se arreglarían hasta fin de año, en la mayoría de los círculos de seguridad, sería considerado asombroso. Después de todo, esto no era ‘solo’ un problema menor de seguridad, o incluso uno mayor. Eran 8 problemas mayores que dan a los atacantes acceso a literalmente todo: El reloj en sí/operaciones, tus datos de reloj, y tu cuenta de COROS.com. Además de inyectar información falsa enviada a ti, como notificaciones de texto falsas (o espiar todos tus mensajes de texto y/o notificaciones enviadas al reloj por tu teléfono, que, para la mayoría de las personas, son al mínimo, todos los mensajes de texto).
(Detalles de SySS, la firma de investigación de seguridad informática)
Después de que un usuario me envió un enlace a la publicación el viernes por la noche,
contacté a COROS para averiguar más. Después de todo, esta era una lista increíblemente detallada de problemas, y parecía que COROS principalmente se encogía de hombros ante ellos. Para este correo electrónico, opté por el enfoque de ‘causar un revuelo’ incluyendo al CEO, su Jefe de Marketing y Soporte de Producto, su jefe interno de PR (Relaciones Públicas), y dos personas más de su firma de PR externa (una cada una en Europa y América del Norte). En él, tenía dos preguntas simples:
1) ¿Realmente estos afectan a todos los relojes COROS?
2) ¿Por qué se están empujando estas actualizaciones tan lejos en el tiempo?
En pocas horas
(un viernes por la noche), recibí el primer correo electrónico de confirmación que habían recibido mi nota y estaban investigando. Dentro de 48 horas, recibí una larga nota detallada de su CEO describiendo las respuestas a mis preguntas, así como un poco más de detalle sobre cómo se desmoronaron las cosas del lado de COROS.
Primero, comenzando con la pregunta de ‘qué relojes afectan’
, Lewis Wu, el CEO de COROS, confirmó lo siguiente:
“El stack de Bluetooth es en gran parte compartido entre nuestros relojes, así que estas vulnerabilidades se aplican ampliamente a la mayoría de los dispositivos COROS. Puede haber pequeñas diferencias de implementación entre modelos, pero la configuración subyacente de Bluetooth es consistente. PACE 3 fue el foco del informe de SySS, pero estamos tratando esto como un problema a nivel de plataforma y aplicando arreglos a lo largo de nuestra línea de productos en consecuencia.”
Lo que luego lleva a la siguiente pregunta:
¿Por qué demonios estos problemas no se están abordando más rápidamente?
“Tienes razón que inicialmente se nos notificó a principios de este año (hace aproximadamente 82 días). Cuando se nos notificó, comenzamos a trabajar en los problemas, pero tengo que admitir que la prioridad debería haber sido mayor. Es una lección para COROS priorizar problemas relacionados con la seguridad. Respondimos a la persona que reportó estas preocupaciones con una respuesta sobre simplificada de “antes de fin de 2025”, pero deberíamos haber sido más específicos en la línea de tiempo con cada elemento en lugar de hablar en términos generales y afirmar que estos se arreglarían mucho antes de fin de este año.”
Voy a dejar de lado
el error de cálculo mental de medianoche sobre el número de días, que según los días publicados debería haber sido 107 días, pero al menos todo lo demás admite que algo se dejó caer.
A partir de ahí,
describió todos los 8 problemas, y las líneas de tiempo para cada uno. Anteriormente había un problema que estaba programado para una actualización de junio, aunque dado que es el último día de junio, sospecho que eso se deslizó hasta julio. A su vez, aproximadamente la mitad de los problemas están programados ahora para una actualización de julio, y la otra mitad en agosto. Están agrupados en lo siguiente:
3.1, 3.2, 3.3, 4.1: Para finales de julio.
4.2, 4.3, 4.4, 4.5: Requieren cambios arquitectónicos más profundos y validación extensa a través de variantes de firmware. Así que nuestro objetivo es arreglarlos para finales de agosto.
Esos números arriba no significan nada
para personas fuera de COROS (o yo mismo), y aclararon en una actualización futura que los dos grupos son:
3.x Lista: Aquellos vinculados al emparejamiento de dispositivos Bluetooth
4.x Lista: Aquellos vinculados al cifrado de la comunicación al dispositivo
Continuó diciendo:
“En resumen, establecemos un mejor proceso de autenticación antes y durante el emparejamiento de los dispositivos COROS (3.1, 3.2, 3.3 y 4.1) antes de finales de julio. Los problemas restantes (4.2, 4.3, 4.4, 4.5) están relacionados con las comunicaciones Bluetooth de COROS durante el uso del producto, lo que requiere una mejor comunicación cifrada. Necesitaremos revisar todos los dispositivos históricos de COROS y actualizarlos uno por uno. El final de agosto es un objetivo agresivo, pero haremos nuestro mejor esfuerzo.”
Además, notó:
“Queremos agradecerte nuevamente por escalar los problemas. Y es importante para COROS como empresa en crecimiento aprender de esto – no solo cómo resolver los problemas reportados, sino también cómo agilizar nuestros procedimientos internos.”
Al final, en este punto,
los usuarios simplemente tendrán que esperar a que se implementen los arreglos. Dicho esto, habiendo trabajado en TI y sus aspectos relacionados con la seguridad como mi trabajo diario antes de esto, hay casi siempre un punto de inflexión en la historia de cada empresa donde comienzan a tomar en serio los problemas de seguridad. O más específicamente, el reporte y la gestión de ellos.
Lo que significa,
cada producto de software alguna vez creado eventualmente tendrá un bug de seguridad. Esa es en gran medida la naturaleza del desarrollo de software. Lo que importa es cómo una empresa maneja ese bug/problema. En este caso, parece que fue básicamente arrojado a la pila más grande de bugs para lidiar con ello, en lugar de ser categorizado adecuadamente como un problema de seguridad. La mayoría de las empresas de software tienen canales muy distintos para lo que sucede cuando llega un bug/vulnerabilidad de seguridad. Típicamente tienen direcciones de correo electrónico muy específicas para que los investigadores se pongan en contacto, y luego tienen procesos hiper específicos internamente para asegurarse de que obtenga la visibilidad adecuada de inmediato. Y además, típicamente tienen procesos hiper específicos sobre cómo coordinar con el investigador de seguridad.
Pero todo esto suele ocurrir solo después de que una empresa comete un error una vez.
En este caso, supongo que este es el ‘una vez’ para COROS. Como dijo su CEO, van a implementar un montón de cosas para asegurarse de que los futuros problemas de seguridad se aborden de manera eficiente (porque de nuevo, todas las empresas tendrán problemas de seguridad eventualmente).
En cualquier caso, como usuario, asegúrate de que las próximas actualizaciones de firmware de COROS que lleguen en julio y agosto se apliquen a tu dispositivo, ya que definitivamente serán importantes.
Estoy adivinando que COROS probablemente también intentará empujar a los usuarios con más fuerza en este asunto.
Con eso – ¡gracias por leer!
¿ENCONTRASTE ESTE POST ÚTIL? APOYA EL SITIO!
Con suerte, encontraste útil este post. El sitio web es realmente un trabajo de amor, así que por favor considera convertirte en un Supporter de DC RAINMAKER. Esto te da una experiencia sin anuncios, y acceso a nuestra serie de videos detrás de escenas (mayormente) bimensual de “Shed Talkin’”.
Apoya DCRainMaker – Compra en Amazon
De lo contrario, quizás considera usar el enlace de abajo si comprando en Amazon. Como Asociado de Amazon, gano por compras calificadas. No te cuesta nada extra, pero tus compras ayudan a apoyar este sitio web mucho. Podría ser simplemente comprar papel higiénico, o este horno de pizza que usamos y amamos.