CVE-2025-32876

Nome do Software Vulnerável e Versões Afetadas: Dispositivos COROS PACE 3 versões até a 3.0808.0

Descrição: Foi descoberta uma falha na implementação BLE do smartwatch COROS, que não suporta Conexões Seguras LE e, em vez disso, impõe o Pareamento Legado BLE. Neste método de pareamento, a Chave de Curto Prazo (STK) pode ser facilmente adivinhada, exigindo o conhecimento da Chave Temporária (TK), que é definida como 0 devido ao método de pareamento Just Works. Isso permite que um atacante dentro do alcance Bluetooth realize ataques de sniffing, possibilitando a escuta clandestina da comunicação.

Recomendações: Para dispositivos COROS PACE 3 versões até a 3.0808.0, considere desativar a funcionalidade Bluetooth até que uma correção esteja disponível para mitigar o risco de ataques de sniffing. Restrinja o acesso a informações sensíveis no dispositivo para minimizar o risco de escuta clandestina. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.